第一篇:防火墻技術論文
【摘要】
21世紀全世界的計算機都將通過Internet聯到一起,Internet的迅速發展給現代人的生產和生活都帶來了前所未有的飛躍,大大提高了工作效率,豐富了人們的生活,彌補了人們的精神空缺。網絡技術在近幾年的時間有了非常大的發展,經歷了從無到有,從有到快;網上信息資源也是從醫乏到豐富多彩,應有盡有。但隨著網絡速度越來越快,資源越來越豐富,與此同時也給人們帶來了一個日益嚴峻的問題———網絡安全。
網絡的安全性成為當今最熱門的話題之一,而且網絡安全防范對我們校園網的正常運行來講也顯得十分重要。現在各種網絡安全技術如防火墻技術、IDS、加密技術和防黑防病毒技術等也不斷的出現,內容十分廣泛。而其中防火墻技術在網絡安全技術當中又是最簡單,也是最有效的解決方案。很多企業為了保障自身服務器或數據安全都采用了防火墻。隨著科技的發展,防火墻也逐漸被大眾所接受。但是,由于防火墻是屬于高科技產物,許多的人對此還并不是了解的十分透徹。
本文在簡要論述防火墻的基本分類、工作方式等的基礎上,對防火墻的優缺點以及局限性進行了說明,也簡述了防火墻技術在校園網中的應用,并對其的發展趨勢作簡單展望。
【關鍵詞】
網絡安全 防火墻 發展
防火墻
1.1 防火墻的概念
所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。
防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。
防火墻,英語為firewall,《英漢證券投資詞典》的解釋為:金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障,旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火墻比喻不要引火燒身。
當然,既然打算由淺入深的來了解,就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續控制引擎。在電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網絡中,所謂“防火墻”,顧名思義,是一種隔離設備。防火墻是一種高級訪問控制設備,臵于不同網絡安全域之間的一系列部件的組合,它是不同網絡安全域之間通信流的唯一
通道,能根據用戶有關的安全策略控制進出網絡的訪問行為。從專業角度講,防火墻是位于兩個或多個網絡間,實施網絡訪問控制的組件集合。從用戶角度講,防火墻就是被放臵在用戶計算機與外網之間的防御體系,網絡發往用戶計算機的所有數據都要經過其判斷處理,才決定能否將數據交給計算機,一旦發現數據異常或有害,防火墻就會將數據攔截,從而實現對計算機的保護。防火墻是網絡安全策略的組成部分,它只是一個保護裝臵,通過監測和控制網絡間的信息交換和訪問行為來實現對網絡安全的有效管理,其主要目的就是保護內部網絡的安全。
1.2 防火墻的功能
(1)訪問控制:
■ 限制未經授權的用戶訪問本企業的網絡和信息資源的措施,訪問者必需要能適用現行所有的服務和應用。網絡衛士防火墻支持多種應用、服務和協議,支持所有的internet服務,包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等,還支持如oracle、sybase、sql服務器數據庫訪問和real audio,vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。
■ 提供基于狀態檢測技術的ip地址、端口、用戶和時間的管理控制; ■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24),ip區間(如202.100.100.1-202.100.100.254),ip/mask與通配符,ip區間與通配符等,使配臵防火墻的安全策略極為方便。
■ 高效的url和文件級細粒度應用層管理控制;應用層安全控制策略主要針對常用的網絡應用協議http和ftp,控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防火墻的權限,源對象可以是網段、主機。http和ftp的協議端口用戶可根據實際情況在策略中定義,協議命令為http和ftp的主要常用命令。通過應用層策略實現了url和文件級的訪問控制。
■ 雙向nat,提供ip地址轉換和ip及tcp/udp端口映射,實現ip復用和隱藏網絡結構:nat在ip層上通過地址轉換提供ip復用功能,解決ip地址不足的問題,同時隱藏了內部網的結構,強化了內部網的安全。網絡衛士防火墻提供了nat功能,并可根據用戶需要靈活配臵。當內部網用戶需要對外訪問時,防火墻系統將訪問主體轉化為自己,并將結果透明地返回用戶,相當于一個ip層代理。防火墻的地址轉換是基于安全控制策略的轉換,可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網絡中具有保留ip主機的訪問,可以利用反向nat實現,即為內部網絡主機在防火墻上映射一注冊ip地址,這樣internet 用戶就可以通過防火墻系統訪問主機了。映射類型可以為ip級和端口級。端口映射
■阻止activex、java、javascript等侵入:屬于http內容過濾,防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼,同時,能夠過濾用戶上載的cgi、asp等程序。
■ 提供實時監控、審計和告警功能:網絡衛士防火墻提供對網絡的實時監控,當發現攻擊和危險行為時,防火墻提供告警等功能。
■ 可擴展支持第三方ids入侵檢測系統,實現協同工作:網絡衛士防火墻支持topsec協議,可與第三方ids產品實現無縫集成,協同工作。
(3)用戶認證
因為企業網絡為本地用戶、移動用戶和各種遠程用戶提供信息資源,所以為了保護網絡和信息安全,必須對訪問連接用戶采用有效的權限控制和身份識別,以確保系統安全。
■ 提供高安全強度的一次性口令(otp)用戶認證:一次性口令認證機制是高強度的認證機制,能極大地提高了訪問控制的安全性,有效阻止非授權用戶進入網絡,保證網絡系統的合法使用。一次性口令用戶認證的基本過程是:首先用戶向防火墻發送身份認證請求,并指明自己的用戶名,防火墻收到請求后,向用戶提出挑戰及同步信息,用戶收到此信息后,結合自己的口令,產生一次性口令并發送給防火墻,防火墻判斷用戶答復是否正確以鑒別用戶的合法性,為防止口令猜測,如果用戶連續三次認證失敗則在一定時間內禁止該用戶認證。由于采用一次性的口令認證機制,即使竊聽者在網絡上截取到口令,由于該口令的有效期僅為一次,故也無法再利用這個口令進行認證鑒別。在實際應用中,用戶采用一次性口令登錄程序登陸時,防火墻向用戶提供一個種子及同步次數,登錄程序根據用戶輸入的口令、種子、同步次數計算出一次性口令并傳給防火墻.用戶可以在不同的服務器上使用不同的種子而口令相同,每次在網絡上傳輸的口令也不同,用戶可以定期改變種子來達到更高的安全目標.■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬件方式認證:網絡衛士防火墻有很好的擴展性,可擴展支持radius等認證,提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬件方式認證。
(4)安全管理
■ 提供基于otp機制的管理員認證。
■ 提供分權管理安全機制;提供管理員和審計員分權管理的安全機制,保證安全產品的安全管理。
過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。
■ 應用代理(Application Proxy)型
應用代理型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。
在代理型防火墻技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型代理防火和第二代自適應代理防火墻。
代理類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。
另外代理型防火墻采取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網絡之間的通信不是直接的,而都需先經過代理服務器審核,通過后再由代理服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
代理防火墻的最大缺點是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,代理防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的代理服務,在自己的代理程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
(3)從防火墻結構上分類
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。
0
信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
(5)按防火墻性能分類
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用代理所產生的延時也越小,對整個網絡通信性能的影響也就越小。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
1.4 各類防火墻的優缺點
(1)包過濾防火墻
使用包過濾防火墻的優點包括:
■ 防火墻對每條傳入和傳出網絡的包實行低水平控制。
■ 每個IP包的字段都被檢查,例如源地址、目的地址、協議、端口等。防火墻將基于這些信息應用過濾規則。
■ 防火墻可以識別和丟棄帶欺騙性源IP地址的包。
■ 包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻,繞過是困難的。
■ 包過濾通常被包含在路由器數據包中,所以不必額外的系統來處理這個特征。
使用包過濾防火墻的缺點包括:
■ 配臵困難。因為包過濾防火墻很復雜,人們經常會忽略建立一些必要的規則,或者錯誤配臵了已有的規則,在防火墻上留下漏洞。然而,在市場上,許多新版本的防火墻對這個缺點正在作改進,如開發者實現了基于圖形化用戶界面(GUI)的配臵和更直接的規則定義。
■ 為特定服務開放的端口存在著危險,可能會被用于其他傳輸。例如,Web服務器默認端口為80,而計算機上又安裝了RealPlayer,那么它會搜尋可以允許連接到RealAudio服務器的端口,而不管這個端口是否被其他協議所使用,RealPlayer正好是使用80端口而搜尋的。就這樣無意中,RealPlayer就利用了Web服務器的端口。
■ 可能還有其他方法繞過防火墻進入網絡,例如撥入連接。但這個并不是
213
也不要忘記了防火墻內的安全保障。
其次,防火墻技術的另外一個顯著不足是無法有效地應付病毒。當網絡內的用戶在訪問外網中的含有病毒的數據時,防火墻無法區分帶毒數據與正常數據,內部網絡隨時都有受到病毒危害的可能,防火墻技術的這個缺點給網絡帶來很大的隱患。
另外,由于防火墻技術的自身不斷發展,其自身問題和漏洞也使其具有局限性。防火墻本身作為一個獨立的系統,其軟、硬件在發展過程中必然也有其自己的bug和漏洞,所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術原理與殺毒軟件類似:先出現病毒,殺毒軟件獲得病毒的特征碼,將其加入到病毒庫內來實現查殺。防火墻的防御、檢測策略,也是在發生攻擊行為后分析其特征而設臵的。如果出現新的未知攻擊行為,防火墻也將束手無策。
最后,防火墻的檢測機制容易造成擁塞以及溢出現象。由于防火墻需要處理每一個通過它的數據包,所以當數據流量較大時,容易導致數據擁塞,影響整個網絡性能。嚴重時,如果發生溢出,就像大壩決堤一般,無法阻擋,任何數據都可以來去自由了,防火墻也就不再起任何作用。
1.6 防火墻的未來發展趨勢
盡管羅列了這么多防火墻技術的局限性,但防火墻在網絡安全中所扮演的重要角色是不可撼動的。未來的防火墻發展朝高速、多功能化、更安全的方向發展。
實現高速防火墻,可以應用ASIC硬件加速技術、FPGA和網絡處理器等方法。其中以采用網絡處理器最好,因為網絡處理器采用微碼編程,可以根據需要隨時升級,甚至可以支持IPv6;并且網絡處理器中集成了很多硬件協處理單元,通過算法也比較容易實現高速。防火墻將會集成更多的網絡安全功能,入侵檢測、防病毒、防御拒絕服務攻擊等安全技術都可以模塊形式安裝到防火墻的機箱內。既節省寶貴的機柜空間,又能為企業節約一部分安全支出,更主要的是可以實現網絡安全設備之間的聯動。防火墻將會更加的行業化。
任何一種防火墻只是為內部網絡提供安全保障,但網絡安全不能完全依賴于防火墻,還需要加強內部的安全管理,完善安全管理制度,提高用戶的安全意識,從而形成全方位的安全防御體系。防火墻技術在校園網中的應用
隨著高校信息化進程的推進,學院校園網上運行的應用系統越來越多,信息
51617
第二篇:防火墻技術論文
摘要
隨著計算機網絡的發展,上網的人數不斷地增大,網上的資源也不斷地增加,網絡的開放性、共享性、互連程度也隨著擴大,所以網絡的安全問題也是現在注重考慮的問題。本文介紹網絡安全可行的解決方案——防火墻技術,防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施,它實際上是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問, 也可以使用它阻止保密信息從受保護網絡上被非法輸出。
關鍵詞:防火墻 網絡安全 外部網絡 內部網絡
防火墻技術
1、什么是防火墻
所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
2、防火墻的類型和各個類型的特點及原理
防火墻的類型有個人防火墻、網絡層防火墻、應用層防火墻。2.1、個人防火墻
個人防火墻是防止您電腦中的信息被外部侵襲的一項技術,在您的系統中監控、阻止任何未經授權允許的數據進入或發出到互聯網及其他網絡系統。個人防火墻產品如著名Symantec公司的諾頓、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能幫助您對系統進行監控及管理,防止特洛伊木馬、spy-ware 等病毒程序通過網絡進入您的電腦或在您未知情況下向外部擴散。這些軟件都能夠獨立運行于整個系統中或針對對個別程序、項目,所以在使用時十分方便及實用。2.2、網絡層防火墻
網絡層防火墻可視為一種 IP 封包過濾器,運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式,只允許符合特定規則的封包通過,其余的一概禁止穿越防火墻。這些規則通常可以經由管理員定義或修改,不過某些防火墻設備可能只能套用內置的規則。2.3、應用層防火墻
應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作,您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。
3、目前防火墻中的最新技術及發展情況
因為傳統的防火墻設置在網絡邊界,外于內、外部互聯網之間,所以稱為“邊界防火墻(Perimeter Firewall)”。隨著人們對網絡安全防護要求的提高,邊界防火墻明顯感覺到力不從心,因為給網絡帶來安全威脅的不僅是外部網絡,更多的是來自內部網絡。但邊界防火墻無法對內部網絡實現有效地保護,除非對每一臺主機都安裝防火墻,這是不可能的。基于此,一種新型的防火墻技術,分布式防火墻(Distributed Firewalls)技術產生了。由于其優越的安全防護體系,符合未來的發展趨勢,所以這一技術一出現便得到許多用戶的認可和接受,它具有很好的發展前景。
分布式防火墻的特點:主機駐留、嵌入操作系統內核、類似于個人防火墻、適用于服務器托管。
分布式防火墻的功能:Internet訪問控制、應用訪問控制、網絡狀態監控、黑客攻擊的防御、日志管理、系統工具。
分布式防火墻的優勢:
(1)增強的系統安全性:增加了針對主機的入侵檢測和防護功能,加強了對來自內部攻擊防范,可以實施全方位的安全策略。
(2)提高了系統性能:消除了結構性瓶頸問題,提高了系統性能。
(3)系統的擴展性:分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。
(4)實施主機策略:對網絡中的各節點可以起到更安全的防護。
(5)應用更為廣泛,支持VPN通信。
4、個人防火墻的設計與實現
4.1、研究內容及其意義
本文提出了一種基于Linux的個人防火墻來保證網絡安全的解決方案,該防火墻主要分成3個模塊來實現,它們分別是數據包捕獲模塊、數據處理模塊、過濾規則設置和查詢模塊。文章首先講述了數據包進行捕獲,提取數據包頭信息,然將包頭信息傳遞給數據包處理部分,并與包頭信息進行匹配和處理,將處理后的信息寫入日志數據庫,規則設置模塊則對數據庫進行添加規則和顯示相應的日志信息
包過濾防火墻是實現防火墻基本功能的最重要最基礎的原型,是學習防火墻技術的必經之路,也為進一步設計與提高防火墻性能提供了必要的儲備。4.2、數據包處理模塊結構與原理分析
本節主要介紹了防火墻的數據處理的原理,敘述了過濾規則、調用數據庫數據包否決等的實現,最后對日志數據庫的存儲進行了簡單介紹。
1、數據包處理模塊的結構
網絡捕獲模塊負責從網絡上截獲所有的數據包,而數據包處理模塊則是對截獲的數據包根據數據包類型的源地址、目的地址、端口等基本信息逐個進行分析比較。數據包處理模塊在對數據包進行分析后,根據數據包的特性,調用特定的過濾匹配規則確定數據包是否可以通過。其結構如圖1 所示。數據包過濾功能的實現是在網絡中運行程序對數據包實施有選擇的通過,選擇的依據就是系統內 設置的過濾規則,只要與過濾規則相匹配的的數據包就被否決,其余的數據包則默認允許通過,并將這些過濾信息存入相應的數據庫。其流程圖如圖2 所示。
圖1 數據處理模塊示意圖
圖2 數據包處理流程圖
2、數據包處理模塊原理分析(1)過濾規則
本系統采用的默認過濾規則是:默認接收所有的進入、外出和轉發數據包;接收所有本地環路接口上的進出包。當要有選擇地接收數據包時,本地的過濾規則需要進行相應的設置。比如:現在要拒絕IP地址為192.168.0.161(局域網內的一主機的IP地址)的主機與本地主機通信,在用戶相應的選項卡中,填上這一I地址就是表示拒絕此IP地址主機向本機發出的所有數據包,這就是數據包的IP 過濾功能。
當然也要實現端口的過濾功能。比如:想禁止某一服務的業務功能,就可以在相應的IP 號下同時設置端口號,就是表示對任一用戶的這一服務被禁止。其實,這只能對某一些常用的端口號進行過濾,如:對HTTP(端口80)進行過濾,就是禁止外部用戶通過防火墻訪問內部HTTP 服務器;對FTP(端口20,21)進行過濾,就是禁止外部主機通過防火墻訪問內部FTP服務器。
數據處理模塊用到的過濾規則將在用戶界面中直接對規則數據庫操作進而來設置要過濾的規則,而數據處理模塊則從數據庫中直接調用。因此,過濾規則是在數據庫中定義,由用戶在數據庫操作界面上輸入的,供底層應用程序調用。(2)調用過濾規則數據庫
程序調用過濾規則數據庫來判斷捕獲的數據包頭信息是否與過濾規則庫中設置的IP 以及端口匹配。因此,它保存的是不被允許通過的IP 號或者端口號,在每次數據調用時,都要進行調用規則,如果與捕獲到的數據包頭信息符合,則丟棄該數據包,否則就允許該數據包通過。
首先要連接并打開過濾規則數據庫,從規則庫中讀取被禁止的IP以及端口號,匹配后根據情況執行拒絕或者允許通過的命令。MySQL 數據庫提供了一種數據庫接口-CAPIs,MySQL數據庫提供的CAPIs函數。CAPIs包含在mysqlclient庫文件當中與MySQL 的源代碼一塊發行,用于連接到數據庫和執行數據庫查詢。
現在假設MySQL 已安裝,在數據庫中的相關用戶和數據表已被創造。MySQL 的頭文件在/usr/include/mysql 目錄下,因此你的程序頭部必須有以下語句:include
為了實現連接,首先必須創建一個連接數據庫的變量:MYSQL *mysql。MYSQL 這個結構表示對一個數據庫連接的句柄,它被用于幾乎所有的MySQL 函數。這些變量類型在MySQL 的庫當中已有定義,我們需要這些變量是為了使用MySQL的C APIs函數。這些變量在頭文件里都有詳細的實現代碼和解釋,但是這些實現代碼和解釋對于程序編寫來說并不重要。
為了連接服務器,調用函數mysql_init()以初始化一個連處理器,初始化這個變量:Mysql_init(MYSQL *mysql);然后就用以下函數實現對數據庫的連接:MYSQL * STDCALL mysql_real_connect(MYSQLysql,const char *host,const char *user,const char *passwd,const char *db,unsigned int port,const char *unix_socket,unsigned int clientflag)。
此函數是一個非常重要的函數,其功能是連接一個MYSQL 數據庫服務器。它試圖建立到運行MySQL 數據庫引擎的HOST 的一個連接。host 是MySQL 服務器的主機名,是一個現存MySQL 軟件的主機地址。它可以是主機名或者是一個IP地址,假定它為NULL或者字符串“localhost”,則是到本地主機的一個連接。user是登錄的用戶名,passwd是登錄密碼,db 是要連接的數據庫,port 是MySQL服務器的TCP/IP端口,unix_socket是連接類型,clientflag是MySQL運行成ODBC 數據庫的標記。參數PORT 若不是0,對于TCP/IP連接這個值將用作端口號。參數unix_socket如果不是NULL,字符串指定套接字或應將是被使用的命名管道。參數clientflag的值通常是0。連接尋建立成功后,這個函數將返回0。至此,對數據庫連接的功能基本已實現,然后就可以對數據庫進行查詢和添加等操作了。這是連接數據庫的第一步,也是一個比較關鍵的地方,此連接返回的數值關系到此程序調用的各種基本信息。現在,我們可以連接數據庫并進行查詢。查詢之前,建立個查詢語句字符串: har *query。這樣可以創立任何SQL 查詢語句進行查詢。
查詢之后,我們要到一個MYSQL_RES 變量來使用查詢的結果。以下這行創立這個變量:MYSQL_RES *res。
MYSQL_RES 這個結構代表返回行的一個查詢的(SELECT,SHOW,DESCRIBE,EXPLAIN)的結果,返回的數據稱為“數據集”。然后用mysql_use_result(MYSQL*query)。
函數讀出查詢結果。mysql_use_result()的一個優點是客戶為結果集合需要較少的內存,因為它一次只是維持一行(并且因為有較少的分配開銷,mysql_use_result()能更快些)。缺點是你必須盡快處理每一行以避免困住服務器,你不必再結果集合中隨意存取行(你只能順序存取行),而且你不知道在結果集合中有多少行,直到你檢索全部結果。還有,你必須檢索出所有行,即使你在檢索中途確定你已找到了想尋找的信息。盡管可以很容易地查詢了,要用這個查詢的結果還要用到其它的函數。第一個是:MYSQL_ROW STDCALL mysql_fetch_row(MYSQL_RES *result)。
該函數把結果轉換成“數組”。該函數返回的是MYSQL_ROW 變量類型。MYSQL_ROW 這個結構是數據行的一個安全表示法。當前它實現為一個計數字節的字符串數組(如果字段值可能包含二進制數據,不能將這些視為空終止串 因為這樣的值可以在內部包含空字節),行通過調用其它函數獲得。無法使用以空字符結束的串,因為數據在這個串可以是二進制,也許沒有包括任何字符。
以下語句創立字符串數組變量:MYSQL_ROW row。
當我們用mysql_fetch_row的時候,接著變量row會取得結果的下一組數據。當到了結果的尾部,該函數返回一負值。最后我們查詢完成后就要關閉這個連接了。mysql_close(MYSQL *mysql)。另外,還有一些與本程序相關的操作函數:unsigned int STDCALL mysql_num_fields(MYSQL*mysql)。這個函數返回表格里有多少個字段;取得“數據集”的數目,用到:my_ulonglong STDCALL mysql_num_rows(MYSQL_RES *res);my_ulonglong STDCALL mysql_affected_rows(MYSQL*mysql)。
這些函數是用來得到受INSERT、DELETE、UPDATE 查詢語句影響的“數據集”數目。my_ulonglong該類型用于行數。這種類型提供0到1。84e19的一個范圍,為了打印出這樣的值,將它變換到unsigned long并且使用一個%lu打印格式。
3、與過濾規則中規則對比
(1)數據包源或目的IP地址過濾
這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/ 丟棄決定。如果數據包的源或目的IP 地址與我們設定的丟棄數據包的地址匹配,那么該數據包將被丟棄。首選要檢查收到的數據包的源IP(在本程序中只對UDP數據報進行了實驗,其它協議的數據包以此類推),若為本地地址則一定丟棄,其他地址則要應用過濾規則。unsigned char *deny_ip =“x7fx00x00x01”;
/* 127.0.0.1 */ if(ss==*(unsigned int *)deny_ip){
flag=1;
},接著就是檢查源IP與設定的禁止的IP地址進行匹配:if(ss== row[t]){flag=1;}row[t]是規則數據庫中的返回查詢值,變量flag則為丟棄行為時的依據。
(2)數據包傳送協議過濾
僅僅依靠地址進行數據過濾在實際運用中是不可行的,還有個原因就是目標主機上往往運行著多種通信服務,因此除地址之外還要對服務器的TCP/UDP 端口進行過濾。只要在數據捕獲程序的檢查出相應的數據包傳輸協議之后,在其后只要運行拒絕命令就行了。一般來說最好匹配規則就是IP 地址與端口結合起來,9 這樣就是只針對某用戶某一服務來拒絕,這樣的選擇性更加符合實際。
(3)對數據包的否決
通過包過濾,防火墻可以攔截和檢查捕獲的數據包。當該數據包不符合過濾規則或者與過濾規則相一致時,防火墻就丟掉該數據包,并存入日志數據庫。由于對數據包的否決是一外部命令,在C語言中可以用execlp()這一函數來執行外部命令。函數原型為:
int execlp(const char *filename,const char *arg0,.../ *(char *)0*/);比如,拒絕一IP 可以這樣: execlp(“/sbin/iptables”,“iptables”,“-A”,“INPUT”,“-p”,“tcp”,“-s”,ss,“-j”,“DROP”);
對端口的過濾則只是外部命令的不一樣而已。常用的否決命令有:
iptables-F // 刪除已經存在的規則;
iptables-A INPUT-p tcp--dport *-j DROP // 關閉某一服務端口為*的tcp協議;
iptables-A INPUT-p tcp-s 192.168.0.130--dport22-j ACCEPT // 關閉某一IP 地址為192.1168.0.130 這臺主機連接本地的SSH服務斷口;
iptables-A INPUT-p udp--dport 53-j ACCEPT // 關閉DNS 服務端口的udp 數據包流入;
iptables-A INPUT-p icmp-icmp-type echo-re-quest-i eth1-j DROP // 防止死亡之ping,從接口eth1進入的icmp 協議的請求全部丟棄;
根據服務器情況,你也可以自行添加規則。(4)存入日志數據庫
對數據包頭分析處理后,可以得到此IP訪問的源IP地址、目的IP 地址、端口以及被拒絕通過的情況。數據庫的連接與上文所說的一樣,因此,此處存入的是被拒絕的數據包頭信息。而且實現一樣用到函數:int mysql_real_query(MYSQL*mysql,const char*query,unsigned int length),只是用函數sprintf()將query值改為插入語句即可,如下:sprintf(query,“insert into logs(remove_ip,local_ip)values(‘%c’,‘%c’”,dd,ss))。這樣就可以將包過濾情況輕易地存入日志數據庫,以供用戶查詢包過濾情況。
4.3總結與展望
本文重點討論了數據包頭分析后與過濾規則的匹配、對數據包的拒絕和日志數據庫的存儲。實驗證明達到了預期目的。但該防火墻系統的一些功能還有待提高,主要是如下幾個方面:規則設置規則有待于進一步探討,這關系數據包過濾的依據;包頭信息提取還過于簡單,提取出來供包處理模塊的內容有待加強;應用層信息無法感知,也就是說,防火墻不理解通信的內容,這是狀態檢測發展方向。
基于以上等原因包過濾防火墻已經逐漸被狀態檢測防火墻所取代,雖然狀態檢測防火墻判斷允許還是禁止數據包的依據也是源IP地址、目的IP地址、源端口、目的端口和通訊協議等,但狀態檢測防火墻是基于會話信息做出決策的,判斷當前數據包是否符合先前允許的會話。NAT 功能可以使得防火墻受保護一邊的IP 地址不至于暴露在沒有保護的另一邊。
新一代的防火墻系統不僅能夠更好地保護防火墻后面內部網絡的安全,而且應該有更為優良的整體性能。未來的防火墻將會把最強的性能和最大限度的安全性有機結合在一起,有效地解決網絡安全的問題。當然防火墻只是確保網絡安全的一個環節,還需要和其他安全措施一起來確保網絡安全,如和IDS、IPS、信息保障等結合起來,在此不作贅述。結論
隨著Internet/Intranet技術的飛速發展,網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措施的一種主要手段,它主要是用來拒絕未經授權用戶的訪問,阻止未經授權用戶存取敏感數據,同時允許合法用戶不受妨礙的訪問網絡資源。如果使用得當,可以在很大程度上提高網絡安全。但是沒有一種技術可以百分之百地解決網絡上的所有問題,比如防火墻雖然能對來自外部網絡的攻擊進行有效的保護,但對于來自網絡內部的攻擊卻無能為力。事實上60%以上的網絡安全問題來自網絡內部。因此網絡安全單靠防火墻是不夠的,還需要有其它技術和非技術因素的考慮,如信息加密技術、身份驗證技術、制定網絡法規、提高網絡管理人員的安全意識等等。
第三篇:防火墻技術論文
防火墻技術論文
在學習和工作中,大家都跟論文打過交道吧,論文寫作的過程是人們獲得直接經驗的過程。相信很多朋友都對寫論文感到非常苦惱吧,以下是小編為大家整理的防火墻技術論文,希望對大家有所幫助。
防火墻技術論文1摘要:計算機網絡安全是新時代關注度很高的一個問題,在此先從計算機網絡自身、外界因素和安全評估技術三方面,談了談影響網絡安全的因素。然后主要介紹了一種防火墻技術,包括它的含義、功能,以及在網絡中的應用。
關鍵詞:計算機網絡安全;防火墻技術;安全評估
引言
計算機和網絡技術在當前社會各個領域都有應用,方便了人們交流,改變了人們的工作方式,也是世界實現一體化的重要手段。同時,網絡安全問題也成了關注的重點,常會有一些病毒和惡意攻擊,使得網絡安全沒有保障,甚至出現信息被盜、賬號失竊等事件,有時會釀成巨大損失。防火墻是保護網絡安全的一種技術,使用也較為普遍,然而面對越來越高明的破壞手段,防火墻技術還需進一步完善。
1影響計算機網絡安全的因素分析
1.1網絡自身
網絡雖然打破了地域限制,為人們交流提供了諸多方便,但其本身具有開放性和虛擬性。除了一些比較特殊的情況,網絡大部分時間是開放的,每個用戶都可以登錄,在任何有網的地方都能用,一旦開放了,必然會有良莠不齊的東西同時出現。網絡世界是虛擬的,是無限的,管理起來非常難,難免會有一些不法分子進行破壞。再者,目前流行的操作系統,如Windows、Unix等,都存在不同程度的漏洞。在當前信息化時代,信息網絡技術迅速發展,產品更新速度很快,但網絡安全技術卻相對滯后,跟不上網絡的發展速度。
1.2外界因素
包括局域網內外部的攻擊,多是些非法用戶利用其他用戶的身份,登陸后篡改數據、盜竊信息,破壞應用系統。病毒是網絡安全的一大危害,網絡連接著世界各地,一旦有病毒侵入,會快速向外傳播,破壞力非常大。不法分子攻擊是另一大危害,多是些違法亂紀分子,利用網絡漏洞惡意入侵,侵犯他人隱私。有些軟件和操作系統在編寫時留有后門,常被不法分子所利用。此外,計算機是物理硬件,若被破壞或者受到周圍環境影響,也會影響到網絡安全。
1.3安全評估技術落后
防范不法分子入侵,保護網絡安全,需要有一套健全的安全評估系統,能夠對網絡進行實時監控,并作出全面評估。一旦發現漏洞,或正在被攻擊的薄弱區,可及時進行修復防范,降低被攻擊的可能性。然而我國目前的網絡安全評估系統,不管是在監控上,還是評估上,都較為落后,無法提供一個良好的網絡環境。
2防火墻技術的應用分析
2.1含義
防火墻是一種隔離技術,是利用軟件和硬件在內部網和外部網之間形成的保護屏障,是監控數據包和網絡通信流入流出的一個安全網關。只有經過用戶同意,其他用戶或者數據才能進來,而且還能夠把不同意的用戶攔在外面。
2.2安全功能
首先是報警功能,當有外來用戶要進入時,防火墻會發出消息通知用戶,令用戶自我判斷是否同意。對于本局域內的其他用戶。防火墻都可以查詢,還能顯示用戶機名。對于不允許的外來用戶,機主可以利用防火墻進行設置,即黑白名單功能。其次,通過防火墻還能查看數據流量,和上傳下載的速度等信息。對于計算機內部的服務程序,防火墻既能查看,又能啟動關閉。系統日志功能指的是防火墻對系統安全狀態以及每日流量的記錄。
2.3應用
防火墻是保護網絡安全的一種有效的方法,其管理主要分有以下兩種。首先是單防火墻和單子網,網絡資源是極其豐富的,各種資源面臨的風險也有所差異。其風險主要體現在兩點,一是資源自身的風險,二是在其他因素影響下的風險。與只提供靜態網頁的服務器相比,若某服務器正在運行CGI,顯然更被用戶喜歡,不過服務器的各種安全問題也會相繼出現。這時,網絡安全管理人員若安裝了防火墻,網絡的風險將有所減少。計算機網絡中的很多信息都是存在數據庫的,信息的敏感性要遠高于網絡服務器,這就要求再設一層保護層。單防火墻和單子網安全系統把全部的服務器都裝在了同一個子網內,內部網和內外邊界路由器之間構建防火墻,能夠很好地抵抗來自外部的各種攻擊。這種模式不但服務器安全更有保障,應用系統也能得到有效的保護。因此,如果隔離網絡服務器,仍不能為數據資料提供安全保障,不妨采取該模式。其次,是單防火墻和多子網模式。有些情況適合劃分為多個子網,此時網絡安全管理人員可以將內網分為若干子網,互相保持獨立,而不同層的服務器會把它們送到不同的子網中。其原理是構建一個防火墻,在防火墻上開放若干端口,然后利用防火墻劃分網絡,彼此獨立,管有相應的層。而數據層服務器只接受中間服務器數據查詢的連接端口,安全性便能得到保障。選擇此模式后,用戶只能直接訪問表述層服務器,以此類推,表述層服務器只能訪問中間層服務器。這種設計模式更能反映系統需求,在層控制方面有著良好效果。
3結束語
計算機網絡技術推動了社會的進步,改善了人們的生活方式,但其安全問題也容不得忽視,尤其是那些重要的關鍵數據,很可能會被盜竊,后果不堪設想。所以,必須擦去有效的防范措施,防火墻便是一種有效的技術,值得推廣應用。
參考文獻:
[1]梁檳.淺談計算機網絡安全與防火墻技術[J].網絡安全技術與應用,20xx,22(06):109-110.[2]趙海峰.淺談計算機網絡防火墻的安全技術[J].電腦開發與應用,20xx,24(10):143-144.[3]李思維.淺談計算機網絡安全影響因素及防范措施[J].科技創新與應用,20xx,20(05):176-177.
防火墻技術論文2由于網絡保密信息的泄露情況嚴重和目前惡意網站的頻頻進擊,使人們越來越重視電腦網絡信息保護的可靠性。工作者在處理網絡信息保護問題做出的突出貢獻就是研究出了防火墻技術。這一技術能夠很好的保障電腦信息的安全性,為電腦中數據的可靠性做鋪墊。這一技術最突出的優勢就是能夠將信息進行隔離,既幫助客戶排查多余的信息,又能夠保證網絡數據不被泄露,有力的保障了計算機網絡的順利進行。
1防火墻的自身實用價值
越來越多的用戶喜歡防火墻技術,并且運用這一技術,是因為其本身所具備的攔截信息、保護數據的功能。本文根據防火墻的作用,在下文中做了詳細的介紹。
1.1代理技術的實用功能。
代理技術對于防火墻來說,本身就是一種極為特殊的。電腦網絡在工作過程中,代理技術可以掌控不同區域的運行狀態,而且是高效和可靠的。這一科研成果的功能具體在于:在內部網絡和外部網絡中,代理技術能夠很好的將其轉換,并且還能夠使內網和外網互不影響。當計算機外網在運行中被斷開時,內網只能夠答應代理所下達的指示。即使在專業技術上有一定的缺陷,但是仍然能夠起到清晰視聽的作用。
1.2檢測技術的實用功能
計算機網絡運行狀態是檢測技術的主要工作,并且是一種新型的科研成果。在網絡的各個層面都會用到這門技術,它能夠檢測到網絡連接的狀態,從而增強信息的傳播速度,加大計算機網絡運行狀態的保護力度。它的主要工作就是根據網絡狀態,將外部網絡傳輸到的信息當成一部分,并對其做詳細解析,進而測試總體的記錄,比較規則與狀態這倆者間的不同。
1.3協議技術的實用功能
有一種攻擊叫DOS,它能夠制止整個服務器的運行,從而讓計算機網絡陷入僵局,與之相聯系的數據也不能獲取。通常來說這類攻擊不會特別受到限制。如何防止這類攻擊就可以通過協議技術,它能夠在防火墻里邊進行操控,保障計算機內部系統的順利運行。同時,它還能夠幫助不同網絡獲取信息,連接著服務器與數據,直至防火墻順利運轉,它才可以工作。一旦將防火墻裝置于服務器內部,其保護作用就能夠發揮出來,使計算機網絡安全問題不被威脅,防止外部網絡的侵害。打個比方:服務器之所以入侵幾率變小,就是因為防火墻詢問上限的設定,同時還是外網給內網傳輸數據的時機。正是通過這種方式,在抵御侵害的時候還可以實現檢測信息包的效果。
2計算機網絡程序的安全問題以及防火墻的功能
從大部分的信息調查中發現,檢測網絡信息安全手段都表現在計算機網絡方面,而防火墻所具備的技術正是預防和阻擋,這些都能夠起到保護信息安全的作用。
2.1訪問手段的使用
訪問網絡的手段所具備的裝置就是防火墻的關鍵部分,它能夠讓計算機網絡被控制和規劃,而且能夠利用優化網絡信息,完善計算機網絡系統。電腦網絡的順利運行離不開防火墻技術,它所計劃出的手段可以幫助計算機網絡長期處于安全狀態。防火墻技術的突出功能就是保護系統。
(1)這一技術能夠保護每一個部門和領域,并且保證訪問的可靠性能夠確切落實于并不一樣的單位區間。
(2)防火墻技術的又一顯著特征就是它能夠徹查不同的計算機網絡運行的地址與方向,掌握計算機的基本特點,對其進行規劃和保護。
(3)訪問策略會根據計算機的實際情況實施策略,制定與其想適應的方案,為了達到最優質的效果,它也會對方案進行調整。在落實安全保護手段時,訪問策略能夠自動制作出策略表,方便數據的記錄與訪問。然而策略表并不代表它可以進行網絡保護,仍需對其進行調整。不可否認的是策略表對網絡的約束已經在一定程度上保障了網絡的安全性。
(4)篩選工作中錯誤的時候,訪問策略也能夠與之同步進行,更好的為計算機網絡的可靠性服務。
2.2使用日志監控功能
確保計算機在調查防火墻技術之后而得到的有用的數據,這就是日志的重點工作項目。防火墻的保護重點就是日志,同時,日志在整個網絡安全工作中是不可或缺的一部分。在剖析防火墻日志時,不必要做到面面俱到,盡量降低問題的出現率。比方說:由于防火墻技術的工作程度較強,所以只能對產生的大量數據進行分門別類,方便監測。可見,防火墻所制成的日志數據,單單是利用分門別類獲取的,日志搜集的難度并不大,對許多重要的數據也不能進行攔截。防火墻安全技術通過日志的監督控制在不斷的增強,防火墻技術的篩查功能也在進步,并且能夠改善流量流失情況。而日志監控的第一步就是篩選技術含量高的信息,這種方式還能夠影響著日志的監督控制、報警記錄等。由于其中形成的數值較完善,所以在篩選時就比較簡單了。
2.3安全裝置的使用
安全裝置在整個網絡系統中可以分割成不同的部分,而安全的重點就是安全保護部分。防火墻技術的關鍵就是安全裝置。要想提高計算機網絡安全保護的效率就必須設創立許多防火墻安全設置。在隔離部分中,它是較為獨立的局域網,能夠作為內部網絡的一方面。追求的目標就是防止內部網絡信息流失,保障網絡的安全運行,營造和諧的網絡氛圍。而安全裝置的隔離功能與一般的保護功能截然不同。它具備一些較為突出的特點。其重點的工作方式包括:自動查看信息的運行,網絡隔離功能,防止攻擊人士剖析IP地址,利用互聯網地址進行調整以及網絡公開IP地址。加強網絡順利工作的安全裝置力度,支持IP技術隱蔽,能夠更好的保護內網和外網中獲得的信息,使之不被攻擊。能夠利用大量的隱藏技術,提供值轉置功能,來抵制外網攻擊,從而實現網絡安全保護的效果。隨著社會的發展和科學技術的不斷進步,越來越多的單位或行業開始使用計算機網絡。而大部分人們都是根據網絡運輸來獲取、傳輸信息,所以網絡安全在整個網絡工作中是至關重要的。防火墻技術的研發能夠很好的維護計算機網絡的安全。
所以,我們應該盡可能的根據防火墻的長處來處理和防止網絡中出現的問題,與此同時,還應該掌握防火墻的各種保護功能,從而使自己的網絡系統更加的安全可靠。
防火墻技術論文3【摘要】針對計算機網絡進行安全維護過程中,必然要沿用防火墻技術,主要是其能夠針對計算機系統提供較為安全且可靠的運行環境。防火墻具體的工作原理,便是在計算機內外網銜接渠道之中形成保護體系,自動屏蔽一系列來源不明的網絡傳輸信息。筆者的任務,便是針對計算機網絡信息安全中防火墻技術的科學有效性運用策略,加以細致化探討論證,希望能為相關工作人員貫徹網絡安全維護職務,提供較為直觀的指導性依據。
【關鍵詞】計算機;網絡信息;防火墻;有效應用
前言
計算機信息技術如今在我國社會各類產業領域之中得到普及沿用,同步狀況下更對于網絡安全維護工作質量提出愈加嚴格的規范訴求。在此類環境下,想要充分維持計算機網絡資源的安全價值,就必須以計算機網絡應用環境為基礎性指導媒介,透過多元化開發途徑將防火墻技術優勢予以全方位發揮。須知防火墻更新速率飛快,已然和當前計算機網絡發展進程維持同步關系,進一步為計算機網絡安全運行提供高效的維護途徑。所以,探索防火墻技術在如今我國計算機網絡信息傳輸中的合理性應用策略,顯得尤為緊迫。
1防火墻技術的原理和屬性
所謂防火墻技術,實質上就是依照國家、法律等規范原則,進行計算機網絡內部流通的所有信息,進行授權和限制性管理服務的行為流程,其間會針對關聯信息加以詳細化記錄,保證各類信息具體來源得到妥善化校驗解析至于,盡快明確網絡系統內一些交互信息的狀況,避免外部攻擊現象的大范圍滋生。至于該類技術的基礎屬性將依次細化為:(1)進行最有效的安全防護方案篩選應用,保證和防火墻防護體系運行規范準則的全面貼合結果。(2)全方位記錄各類信息活動并且精準化檢驗攻擊性行為,在第一時間內提供警示信息和限制性管理服務。(3)容納全部信息,將計算機網絡整體性能予以有機維護。
2計算機網絡系統經常發生面對的安全威脅因素
須知計算機網絡系統深處于信息環境之中,其間遭受任何形式的網絡安全攻擊問題,都將被視為防火墻技術重點加以防護的內容,所以說,筆者經過計算機網絡系統的安全攻擊現象分析過后,整理出以下威脅因素:2.1IP攻擊參與該類網絡攻擊活動的人員會預先鎖定要攻擊的目標群,同時設置對應的IP攻擊路徑。在確保已經向目標主機發送完安全信息過后,獲取主機的信任并進行相關攻擊對象鎖定,力求借助信息模式進行虛假形式的IP發送,一旦說IP欺騙計算機網絡安全的防護舉措之后,虛假形式的IP便會立即轉變成為多樣性的攻擊行為,如進行用戶信息全方位搜羅讀取、篡改必要的服務項目,最終將這類攻擊程序安置在用戶難以及時發現的空間之中,為后續一切非法性攻擊活動布置延展,做足充分的過渡準備工作。2.2拒絕服務這類攻擊行為主張借助系統存在的漏洞,向計算機進行各類樣式的攻擊數據包發送,持續到主機處于癱瘓狀態為止,這樣主機便無法滿足現場操作者一切網絡化服務需求。實際上。該類網絡攻擊模式具備深刻的毀滅性特征,攻擊主體在進行攻擊類數據包發送過程中往往不受時間和方向等因素約束,透過數據包發送令計算機難以承受過高負荷的數據存儲,進一步陷入停滯或是休眠的狀態之中,此時即便是操作主體向系統發送任何操作請求,計算機也將喪失對應的服務能力,無法盡快接受并處理這方面請求,這便是所謂的計算機完全拒絕服務的現象。2.3端口攻擊計算機自身存在多種類型的端口,包括遠程、協議、共享等類型,在此基礎上,計算機系統才能愈加流暢和高效地運行下去。通常狀況之下,操作用戶很難發覺對端口遭受的攻擊現象以及對應的影響問題,幾乎都是借助防火墻技術進行常用端口防護控制,至于其余端口則完全沒有獲得可靠的防護措施。
3新形勢下防火墻技術在我國計算機網絡安全管理中的科學應用措施
防火墻技術的工作原理,就是針對計算機的內外網絡空間進行隔離化處理,從中衍生出極為穩定且高效的保護路徑,旨在將一切外部攻擊行為予以識別、遏制。至于該類技術如何妥善化地在計算機網絡安全防護工作中改良運用,具體細節將如下所示:3.1合理推廣沿用高端可靠的代理服務器代理服務器,即防火墻技術的一種,其主張向網絡系統提供對應的代理服務,完成真實網絡的信息交互式工序流程。如計算機網絡信息借助內網向外網空間傳輸信息過程中,自身會攜帶IP信息,如若其間外網攻擊主體發現并進行動態化跟蹤校驗,導致病毒或者是木馬介入內網的幾率便顯得非常之高,之后病毒便會在內網之中泛濫并且竊取銷毀重要數據;而沿用代理服務器之后,便會為交互信息設計供應虛擬樣式的IP,同步狀況下將真實IP予以合理化掩藏,外部攻擊者透過跟蹤破解的只能是虛擬化的IP,內網真實性信息至此便會得到應有的保護條件。3.2科學融入包過濾技術要素包過濾技術的核心特征就是進行信息選擇,此類技術在確保獲取到傳輸信息之后,會自動地聯合原有的安全注冊表進行綜合化對比校驗,認證當下傳輸信息的安全性。筆者在此主要以網絡傳輸目的IP為例,針對該類IP數據包進行細致化校驗解析發現,當中蘊藏著必要的源信息,可以被視為標志性信息,主要配合包過濾技術進行獲得的數據包和用戶安全注冊表校驗對比,篩選當中存在攻擊隱患的數據信息,保證系統安全之后持續執行數據傳輸任務。需要加以強調的是,包過濾技術應用過程中,不單單控制信息內外網傳輸過程,同時會提供必要的限制性功能,即該類技術能夠在計算機主機上和路由器上應用,因此被細化出開放和封閉式兩類應用模。3.3有機貫穿復合類安全防護技術該類技術能夠彰顯出計算機網絡信息的綜合性防護功能優勢,即主張在防火墻內部融入代理和包過濾兩類技術要素,綻放出更為穩定的防護體系,將以往防火墻技術的諸多缺陷予以全面性填充彌補。在代理和包過濾等技術的綜合作用之下,防火墻技術開始逐漸地形成系統性的保護類型,能夠愈加合理地維持防火墻技術應有的靈活性特征。當前,防火墻技術表現出一定程度的混合特性,復合體現出代理和包過濾的雙向優勢特征,最為重要的是還可同步貫穿多元化安全防護技術,在爭取考慮到計算機網絡安全的運行實際基礎上,保證防火墻一旦遭受任何形式的網絡攻擊時,便會在第一時間內作出防御服務回應,彰顯出現代我國計算機防火墻技術應用所需的策略性。
4結語
綜上所述,計算機網絡應用空間范疇持續擴張,一時間令計算機網絡在運行過程中面臨更為嚴峻的安全威脅,想要針對這部分安全隱患加以系統化調試,第一要務便是合理改良開發防火墻技術。至于防火墻技術在網絡安全發展環節中,主要彰顯出變革與更新特性,在進行計算機網絡系統實時性保護的基礎上,規避任何形式的計算機外網攻擊現象,最終維持內網環境的安全性。具體來講,防火墻技術在我國當前計算機網絡安全管理活動中,占據著十分重要的指導性地位。
參考文獻
[1]苑雪.新形勢下計算機網絡信息安全存在的威脅及對策分析[J].科技經濟市場,20xx,13(05):134~150.[2]高揚.計算機網絡信息安全和安全防護[J].通訊世界,20xx,20(12):78~96.[3]林嵐.計算機網絡信息安全及防護策略研究[J].科技展望,20xx,31(19):108~125.
防火墻技術論文4摘要:伴隨計算機網絡技術的高速發展,社會生活以及生產對于計算機的應用和依賴程度不斷提高,網絡安全問題成為制約計算機網絡計算健康發展的關鍵問題。防火墻是計算機網絡系統的基本保證,本文針對計算機網絡安全及防火墻技術的相關問題進行深入研究,簡要分析計算機網絡安全、防火墻技術,以及防火墻技術在計算機網絡安全領域的應用,旨在促進計算機網絡技術的科學發展。
關鍵詞:計算機;網絡安全;防火墻技術
計算機網絡技術的應用給用戶帶來諸多便利,但是由于網絡處于開放狀態中,因而用戶在應用網絡系統的過程中,也會面臨諸多安全隱患和威脅,用戶自身操作系統的不完善、網絡協議存在漏洞、電腦高手的惡意攻擊都會給成為導致計算機網絡安全問題的主要因素,發生計算機網絡安全問題可能導致用戶的數據信息丟失、系統癱瘓,嚴重影響計算機網絡系統的正常應用。防火墻是計算機網絡安全主動防御的有效途徑,探究計算機網絡安全及防火墻技術的相關問題進行探討,對于促進計算機行業領域的持續發展具有現實意義。
1計算機網絡安全
計算機網絡技術的應用主要以各種程序信息為平臺和載體,而在程序和系統運行的過程中也會衍生諸多數據信息,從某種層面而言計算機網絡技術的應用便是數據信息的應用,網絡數據安全也成為保障計算機網絡技術應用價值的關鍵,保證計算機網絡技術的應用安全便需要保證網絡數據信息的安全。用戶在應用計算機的過程中會從不同途徑遭受數據丟失、泄露或者破壞等風險,造成網絡數據安全威脅的節點較多,病毒以及電腦高手攻擊多以節點攻擊為主要方式造成計算機操作系統的損壞,用戶不良的計算機網絡應用習慣,可能是造成病毒植入或者感染的重要原因。由于當前計算機網絡領域應用范圍的不斷拓展,計算機網絡應用行為所產生的網絡信息也體現更高價值,不法分子對于網絡數據信息的惡意侵犯行為也愈發頻繁,用戶需要實現常態化的網絡安全防護,才能夠保證自身應用網絡系統的安全。
2防火墻技術
用戶進行計算機網絡系統的應用,對于防火墻技術的應用程度也相對較高,防火墻是計算機系統安全保護的有效屏障,通過其技術形式進行劃分可以分為軟件型、硬件型和嵌入型三種類型,從其技術層面進行劃分也可以分為狀態檢測型、包過濾型以及應用型等三種類型,不同類型的防火墻都有自身特點以及應用利弊,用戶可以根據自身的應用需求以及網絡系統配置進行合理的防火墻選擇。
2.1狀態檢測型防火墻
狀態監測性防火墻主要是對網絡系統的運行數據進行檢測和分析,通過自身的數據檢測功能對網絡運行狀態中存在的不安全因素進行辨別,進而為保證系統的運行安全,對不安全狀態進行必要處理,應用防火墻實現對于網絡系統的安全防護作用。相較于其他類型的防火墻而言,狀態監測型防火墻的安全防護系數相對較高,能夠根據應用需求進行拓展和伸縮,值得注意的是,進行拓展和伸縮需要一定的應急反應和處理時間,因而會出現防護保護延遲的情況發生,網絡連接狀態也會出現延緩或者滯留的情況。
2.2包過濾型防火墻
包過濾型防火墻的重點在于包過濾技術的應用,包過濾技術對于計算機網絡協議具有嚴格要求,系統運行的各項操作都需要在保障協議安全的基礎和范疇內進行。防火墻的工作機制相對透明,用戶進行網絡系統的應用過程中,防火墻會對存在安全威脅的網站訪問行為和被訪問行為進行過濾,運行和防護工作效率相對較快,但是對于攜帶新型病毒的惡意訪問或者電腦高手攻擊不具有防護功能,對于原有的數據信息具有較強的依賴性,不能夠進行自動更新以及程序包的升級。
2.3應用型防火墻
應用型防火墻主要通過IP轉換的方式,對網絡系統的入侵者進行防護,應用偽裝新IP或者端口作為誘導,達到對真正網絡系統的防護作用,以偽裝方式迷惑不法入侵行為,實現網絡系統通訊流的阻隔作用,同時也能夠對網絡運行狀況進行實時監控,體現較高的安全性能。此種防火墻技術的應用會使網絡系統的運行環境更加復雜,同時對于網絡信息安全管理也提出更高要求。
3防火墻技術在計算機網絡安全領域的應用
3.1身份驗證
身份驗證是防火墻技術的主要應用方式,通過用戶的身份驗證授權其各應用平臺和系統的使用行為,保證其計算機網絡系統操作的合法性。防火墻能夠在信息的發送和接收環節中都能夠發揮身份驗證作用,在數據傳輸的過程中形成天然屏障,形成對于不法訪問和傳輸行為的阻礙作用,保證信息的傳輸安全。
3.2防病毒技術
防病毒是防火墻的主要功能,同時也是其技術應用的主要方式,防病毒的功能體現也是用戶進行防火墻技術應用的主要目的。防火墻在網絡系統中對外界第三方訪問的數據信息進行檢查,非法路徑訪問行為會被制止,防病毒技術的應用效果比身份驗證更為明顯,對于處理技術的應用要求也相對較高。
3.3日志監控
防火墻在對網絡系統進行應用的過程中會自動生成日志,對各類訪問信息進行記載,便于在日后的應用過程中對數據信息進行分析和防護,日志監控在防火墻的應用中發揮至關重要的影響作用,用戶在進行程序應用的過程中,不需要進行全面操控,僅需要針對關鍵信息進行操作。由于用戶應用計算機網絡系統會產生大量的數據信息,因而日志信息的生成量也非常大,如果用戶進行全面操作需要耗費大量的時間和精力,對網絡防護的即時性產生影響,用戶可以對網絡數據信息進行分類,并針對不同類型進行重點操作,有助于系統防護工作效率的提高。
4結束語
計算機網絡安全是用戶進行計算機程序和系統應用關注的重點問題,防火墻技術的應用有助于實現對于網絡系統的安全防護,身份驗證、防病毒技術、日志監控是防火墻技術應用的主要方式。用戶進行計算機網絡系統的應用,需要養成良好的網絡訪問習慣,積極應用防火墻技術保護系統的有序運行,以促進計算機技術應用價值的提升。
參考文獻
[1]趙建青.淺議計算機網絡的安全問題與防范研究[J].網絡安全技術與應用,20xx(02):3,26.[2]劉意先,慕德俊.基于CIA屬性的網絡安全評估方法研究[J].計算機技術與發展,20xx(04):141-143,147.[3]譚玉波,趙孟,鄧淼磊.網絡安全態勢優化評估研究與仿真[J].計算機仿真,20xx(03):210-215.
防火墻技術論文51、影響網絡安全的因素
1.1 數據威脅
數據是構成網絡信息的主體也是網絡安全需要保護的對象, 數據運行中存在的漏洞被發現并研究, 開發利用漏洞進行針對性破壞的漏洞, 以植入木馬、病毒、腳本的形式對計算機數據進行竊取、破壞、修改, 嚴重的可造成計算機系統癱瘓, 影響政府和企業服務器正常運行或泄露個人電腦用戶隱私和造成財產損失。
1.2 外力破壞
外力破壞主要以刻意利用木馬、病毒攻擊計算機, 其次以利用網站病毒、郵件病毒的方式。由于用戶不正確的電腦使用習慣, 如長期使用電腦卻不定期殺毒給病毒以可乘之機, 或攻擊者摸清網民的上網習慣和偏好的網站后對網民經常訪問網站植入攻擊鏈接, 引發網民計算機下載并運行病毒或木馬, 直接對網民計算機進行攻擊。
1.3 環境威脅
互聯網中計算機都與服務器連接, 所有計算機處于信息共享環境中, 而用戶訪問互聯網必須經由互聯網環境, 故環境威脅不可避免。而因互聯網共享環境中客戶端數量較多, 網絡環境內的攻擊頻繁且強烈。網絡環境的攻擊主要以互聯網環境內計算機之間數據包傳輸的形式, 與木馬病毒破壞計算機軟件不同的是, 數據包中帶入的網絡攻擊主要攻擊內網的防護結構, 為“數據威脅”和“外力破壞”兩種方式提高成功率和加大破壞力。
2、防火墻的類型及特點
2.1 防火墻的分類及其原理
1.數據包過濾型
數據包過濾型防火墻主要通過查看流經數據的包頭, 再決定不同數據包的去向。此種防火墻對數據包常見操作有丟棄(DROP)和接受(ACCEPT)兩種, 也可執行其他操作。只有滿足過濾條件的數據包才被防火墻轉發到相應目的地, 其余數據包被阻擋或丟棄。數據包過濾的特點有對用戶透明;過濾速度快、效率高。缺點是只能根據數據包的來源、目的地、端口等網絡信息進行判斷, 不能完全杜絕地址欺騙。數據包過濾與一些應用協議不兼容, 不能防范不斷更新的攻擊, 不能處理新的安全威脅。
2.網絡地址轉換(NAT)
網絡地址轉換是將IP地址臨時轉換成外部的、注冊的IP地址標準。在內部網絡需要訪問外部網絡時, NAT系統將用于對外訪問的源地址和源端口映射為一個偽裝的地址和端口與外網連接, 以達到隱藏計算機真實內部地址的目的, 外部計算機安全網卡訪問本地用戶計算機內網時, 并不知道內網的網絡情況, 只能與在互聯網中的這一IP地址和端口進行訪問, 防火墻只需根據網絡安全管理員編寫好的映射規則來判斷這個訪問的安全性再進行安全操作。NAT過程對于用戶來說可視化的程度高, 由于NAT能根據預定規則運行, 所以不需用戶進行繁雜的設置, 只需簡單操作, 有操作門檻低, 易于上手等優點。
3、防火墻技術在計算機網絡安全中的應用
3.1 訪問策略中的應用
防火墻技術判斷有害數據的核心依據是訪問策略, 訪問策略在計算機網絡安全中占據主體地位。訪問策略的實施主要以網絡技術管理員預先配置的形式為主, 經過周全的設計布置, 依據深入統計的網絡信息交換傳遞特點, 構建科學、完善的網絡防護系統。
防火墻在訪問策略中經過以下幾個保護流程:
(1)防火墻將運行中的信息劃分為不同的單位, 針對每個單位布置內、外兩方面的訪問保護;
(2)防火墻通過既有的訪問策略對計算機運行的目的地址、端口地址等參數進行學習, 以適應計算機信息傳遞的特點;
3.2 日志監控中的應用
計算機防火墻生成的日志文件可用來高級計算機用戶或發燒友對其進行分析, 以獲取計算機運行中的后臺行為信息。日志監控和分析在網絡安全保護中很重要, 用戶分析防火墻日志時, 只關注重要信息即可。具體操作方法是對網絡防火墻生成的日志文件信息進行分類, 以降低日志有用信息采集的難度。計算機用戶或管理員對日志監控的靈活運用, 使人工智能與防火墻安全技術相結合, 提升網絡安全防護能力和網絡優化效果。
結語:作為內部網絡與外部網絡公共網絡之間的第一道屏障, 防火墻是最容易被計算機使用者和單位接受的網絡安全產品之一。防火墻處于網絡安全的最底層, 負責網絡安全認證和傳輸工作, 不僅保證起到識別和過濾的作用, 同時還能為各種聯網應用提供網絡安全服務。隨著信息技術和互聯網在日常生活中被廣泛普及和應用, 人們對計算機信息安全等級要求愈來愈高, 對網絡信息安全管家防火墻的技術更新升級速度也提出了挑戰。
參考文獻
[1]于志剛.網絡思維的演變與網絡犯罪的制裁思路[J].中外法學, 20xx, 26(04):1045-1058.[2]馬利, 梁紅杰.計算機網絡安全中的防火墻技術應用研究[J].電腦知識與技術, 20xx, 10(16):3743-3745.[3]趙文勝.論信息安全的刑法保障[D].武漢大學, 20xx.[4]隋曉冰.網絡環境下大學英語課堂教學優化研究[D].上海外國語大學, 20xx.[5]雷瑞林.計算機網絡安全中的防火墻技術研究[J].福建電腦, 20xx(05):43+54.
防火墻技術論文6摘要:隨著經濟的發展,互聯網技術越來越發達。網絡已經成為人們生活中必不可少的部分。當然,網絡的迅速發展也是具有兩面性的,它就是一把雙刃劍,一方面它給人們的生活帶來了便利,讓我們的生活方式更加快捷。另一方面,計算機也存在一些安全問題。例如,互聯網會出現一些信息泄露、支付安全等問題。所以,維護和建立一個健康的網絡環境尤為重要。文章研究了防火墻技術在計算機網絡中的應用。
關鍵詞:網絡;防火墻;信息;技術
社會的高速發展下,人們對網絡的依賴性越來越強。包括日常生活中的網上購物,大到上萬小到幾塊的支付。再到網上搜索一些信息,基本上生活離不開網絡。但是網絡也是一把雙刃劍,在這些交易的過程中,會需要我們注冊各種信息,包括身份信息、銀行卡信息。這些信息放在網上,總會有一些不法分子和程序偷取信息。那么,網絡的安全性必須引起我們的重視。目前,防火墻技術就是解決網絡安全問題的重要手段之一。
1防火墻技術存在的問題
1.1第一代防火墻技術
以往的第一代防火墻技術是通過對每個數據包檢查流經網絡的簡單包過濾技術,按照一定的安全要求來斷定能否符合既定要求。要具有良好的理解能力,只是單單了解數據處理的更高協議是行不通的。1985年,Cisc的IOS技術產生并處理分析出了第一代防火墻技術。經過多年的不斷研究和改善。在各個方面都有了很大的提高和完善。它的運行速度和安全檢測能力也有了巨大的提升。這項技術基于數據包中目的地址內容經過判斷對數據包的全部內容進行分析,促使一些不良的數據包不會對計算機本身產生安全隱患。這項技術會先對數據源頭進行檢測,并由此完成一步一步向下傳遞的任務。這項技術的優點是速度快且費用較低。但就目前而言,它還不能對計算機進行深層次的檢測,所以還不夠完善。目前的網絡發展存在一定的漏洞[1]。
1.2第三代防火墻
應用層網關(ApplicationLayerGateway,ALG)也叫應用層防火墻或應用層代理防火墻,其進程名是alg.exe,應用層網關通常被描述為第三代防火墻。它是由美國電報公司實驗室發現的。當網絡上受信任的用戶連接到不安全網絡(如Internet)上的服務時,這項技術就會指引至防火墻中的代理服務器。代理服務器可以偽裝成Internet上的真實服務器。它可以對我們發出的請求進行評估,并根據一套單個網絡服務的規則決定允許或拒絕該請求,來有效地解決計算機與計算機之間存在的一些不信任問題。
1.3電路層網關代理技術
20世紀80年代電路網關代理技術產生。這項技術設立了內端口和外端點的連接。達成了數據層的.傳輸。這就實現了防火墻與主機,主機和防火墻的建立。也就把數據包檢測內容分成了傳輸控制協議(TransmissionControlProtocol,TCP)的兩個部分。TCP在中轉時,會連接外界和網關的母的地址。過程中分析和處理傳輸層的非交互數據,能夠讓用戶通過檢驗網關技術,就能穿越網關訪問系統和服務。這一技術也存在一些問題。它無法對數據包進行更深層的訪問和認證。它只是用于服務器和用戶間的聯系[2]。
2目前計算機運用的防火墻技術
2.1多級過濾技術
隨著經濟的不斷發展,網絡技術研究也受到更深入的研究。傳統的防火墻技術都存在一個共同特點,都采用逐一匹配的方法,這樣的話計算量會很大。怎樣才能提升計算機的安全性,成為我們研究的重點。隨著不斷的深入研究,多級過濾技術產生。它是由分組過濾、應用網關過濾、電路網關3個部分組成。第一部分分組過濾能先過濾掉一些虛假的IP地址,第二級別對服務器系統進行安全檢測和防護。最后一階段電路網關是最終的守護者,建立起主機和外部站點的聯系,實現服務和運用的安全管理。
2.2計算機內部的轉換
計算機技術的不斷進步和發展,使得計算機網絡之間的轉化變得更加透明和安全。計算機之間處理的直接化使得我們的網絡運用更加安全化。一些入侵程序再也無法深入竊取我們的信息和隱私。不僅這樣,計算機內部的轉化透明化還會提高我們主機地址的準確性。也為我們一些公司企業的內部專用網絡提供了便捷的訪問權限。所以,防火墻的技術在計算機安全方面起著重要作用。
2.3深化計算機系統的處理層
之前的防火墻在運用中要進行登錄或者通過對路徑的修改來達成電腦安全的防護。但這些只是對一些表層問題有所修護。而深化透明我們的訪問方式可以對IP地址進行判斷和能力進行轉化。更加透明的轉換方式可以對我們電腦處理層進行深化,對用戶信息進行加密,減少系統和深層數據庫存在的一些風險。
2.4口字令技術的運用
互聯網的發展隨之會帶來許多安全隱患,我們在防患過程中也會遇到一些解決不了的問題。新型的防火墻技術運用于計算機時,針對數據遠程傳輸中存在的問題,我們也研究出了一些解決方法。新型的防火墻技術在計算機運用過程中,采用了加密技術和鑒別技術。在防火墻自身系統通過口令技術自帶防護技術。提升了計算機的安全性。工作和使用效率也得到了大大提高。
2.5告警功能和審計功能
防火墻的技術日益完善,為減少一些數據包中存在的安全問題對計算機的影響。告警功能和審計功能出現在新型防火技術中,而且成為重要的維護安全的產品。對通過不同計算機的地址的內容進行審計和認證,減少了服務器與服務器之間的安全隱患。提高了計算機數據和系統之間的安全性。審計功能的出現就像我們多了一位安全檢測員,在運用中,有這樣的一個功能讓信息更加安全。而在使用過程中,告警功能會在出現異常、漏洞、危險程序時進行及時的警報。對計算機系統和信息進行了及時防護,避免出現信息泄露、程序異常等諸多問題[3]。
3如何運用防火墻技術
3.1訪問策略的重要性
在日常生活中,如何更好地讓我們的防火墻技術運用在生活工作中,主要還是在訪問策略的制訂上。我們在制訂策略時,做好和認清什么可以訪問,什么不可以訪問。計算機在實際操作和運用中,對計算機系統進行合理的分配,可以在運用計算機時根據系統提示,安裝一些科學的、安全的軟件,對電腦的軟件和一些病毒信息泄露進行深層保護和防護,為我們的互聯網打造一個干凈、無污染的網絡環境。
3.2日志監控的重要性
防火墻技術的使用越來越廣泛。除了在源頭建立訪問策略,日志監控也是重要的手段之一。我們的防火墻技術會在電腦出現異常時出現告警狀態。隨之也會產生日志監控,這個日志的存在也是十分重要的。當電腦出現問題時,可以通過這項功能研究分析出一些存在的問題和潛在風險,隨之建立一些保護措施,確保電腦的安全使用。當出現問題時,日志可以最直接地反映出,可以幫助我們最快速度找出問題,解決問題,重新建立防火墻,攔截一些危險的程序和病毒,從而提高防火墻的使用率。
3.3合理的建立安全配置
防火墻的重點內容就在于如何做好安全配置。如何對安全網絡進行模塊化管理十分重要。把網絡劃分成不同的版塊。區分出不同模塊所受保護的程度。相似的模塊劃分成一個區域。我們可以根據自身得需要進行“區別”的對待。比如,工作中相關的文件和內容可以進行加密或重點保護,一些娛樂版塊可以放在不太重要的區域。這樣的優化資源配置才會把防火墻技術最大程度的運用。“區別”對待不是直接分離,它還是會在同一個區域網內,所有的版塊組合在一起,還是一個計算機的內部網絡。這一技術的建立可以讓電腦更加優化,讓信息更加安全,防火墻技術才能真正地運用于生活。
3.4保護數據安全的重要性
經濟的發展,互聯網的進步,防火墻技術的完善更加凸顯出數據的重要性。網絡時代,數據是最重要的資源。如何才能把這一資源優化利用尤為重要。我們可以發現,現在的網絡環境十分自由。許多信息出現在網絡上。當然有很多信息可以在網上免費查找運用,但也有許多信息也是具有一定保密性的,不是對外公開的。比如,我們登記在網上的一些銀行信息、財務關系,還有一些研究成果和資料都是一些不可竊取的秘密。一直以來,很多私人的信息會出現在網上,比如電話號碼、身份信息、家庭住址等。這樣的做法極其需要我們的防火墻技術來減少這種行為的發生。所以,防火墻技術在網絡數據運用中要尤為重視。通過初始的一些措施,及時阻止一些安全隱患的發生,提高我們互聯網環境的質量[4]。
4結語
總而言之,隨著社會的日益發展,互聯網技術越來越發達。為減少出現個人信息、密碼、身份等數據泄露,建立一個干凈的網絡環境我們應該運用新型的防火墻技術,重視訪問策略在防火墻技術中的重要作用,結合日志監控功能,優化安全配置資源,注重數據安全的應用,不斷更新和注重防火墻技術在計算機網絡中的運用。
[參考文獻]
[1]王海榮.防火墻技術入侵檢測系統在高校校園網運用分析[J].電子技術與軟件工程,20xx(10):194-195.[2]馮旗.淺述計算機防火墻技術[J].電子測試,20xx(9):65-67.[3]肖繼海.防火墻技術發展趨勢探析[J].信息安全與技術,20xx(8):12-13.[4]陳健.計算機網絡安全常見問題與對策[J].信息系統工程,20xx(3):44-45.
防火墻技術論文7摘要:隨著計算機技術的不斷發展,一些問題也接踵而來,最主要的就是網絡安全問題。現代一些不法分子利用網絡漏洞,進行違法行動,防火墻由此而生。防火墻的主要作用就是保護計算機不受網絡病毒和外界入侵的干擾,是計算機一種基礎、有效防護措施。
關鍵詞:計算機網絡安全;防火墻;計算機自我防御
0引言
計算機網絡安全主要指的是網絡信息傳輸的安全性和保密性,防止系統安裝的病毒軟件或者外界強制攻擊造成的個人信息泄密。開啟防火墻的計算機不管是系統數據的安全還是日常運行,都會有一定的保障,現代我國的計算機網絡安全保護技術有很多,本文主要講解的方向就是防火墻,分析防火墻在計算機網絡安全保護的作用和所處的位置,直觀的理解防火墻--在計算機在進行網絡互動的時候實施信息保護,先排除一些自彈危險窗口和自動下載病毒,再而保護整個計算機的操作系統,設置監管節點。防火墻在計算機網絡安全保護中有著至關重要的作用。
1計算機網絡存在的安全問題
1.1概述
我國現在的計算機都或多或少都存在一些安全問題,如訪問系統的監管能力不強,沒有一套針對性的措施來避免計算機網絡安全上造成的損失。現代的一些入門防護措施只能對一些舊型的入侵進行簡單防護,一旦出現稍微復雜的系統,就極可能被入侵,從而造成計算機系統的損壞和個人信息的泄露。現在很多從事秘密工作的人員對于計算機網絡安全沒有一個較為完善的概念,沒有對計算機進行有效的網絡安全防護,就很容易出問題,而等到發現問題以后再想辦法為時已晚,無法補救,這樣的情況造成的損失通常都是很嚴重的[1]。
1.2對于計算機安全系統防御力不高方面
首先,對于我國的計算機系統來說,其對網絡攻擊的防御效果不佳,安全防范體系并不完善,防御系統升級調整不及時,由此導致網絡安全問題十分嚴重。目前,網絡病毒與網絡攻擊十分猖獗,網絡攻擊大多是利用計算機或網絡防御體系中的漏洞,進行隱秘是或者毀滅性的入侵,從而達到破壞或者盜取信息的目的。目前,最常見的網絡攻擊方式有木馬病毒攻擊、IP攻擊、端口攻擊、拒絕服務攻擊。
1.3對安全監測數據信息上存在的問題方面
安全監測數據信息上存在的問題主要是由于系統的訪問存在一定的缺陷,導致系統在訪問控制系統時只能夠解決程序內部設定的問題解決,對于新出現的安全問題不能進行及時的預警和解決,導致實際的數據安全受到一定的威脅,且計算機網絡系統出現問題之后,往往會對原本的計算機處理系統造成嚴重的威脅,給計算機內部數據造成更加嚴重的威脅。例如,20xx年出現的“敲詐者病毒”、“勒索病毒”給人們的財產安全帶來重大威脅。然而,大多數殺毒軟件都沒有做好數據監測工作,只是在事后制定防御機制,而不能有效改變這一問題。對此,相關技術人員必須樹立正確的思想意識,加強系統防護。嚴格按照相關規定對數據進行監測,一旦發現問題及時啟動預警防御措施。
2針對計算機網絡信息安全對防火墻技術的應用分析方面
對于計算機的網絡信息系統安全方面存在的問題,要建立起科學的防火墻技術,利用網絡防火墻保證計算機網絡系統的安全工作。計算機網絡信息安全的保障思路,首先要考慮到的是數據加密的方法對于數據安全性的促進作用,在實際的操作當中,可以將數據進行加密,結合計算機網絡防火墻實現對相應數據的強化保護[2]。對于實際的數據加密的方式,主要是通過網絡連接和相應的端口加密來進行的,因此需要網絡安全維護程序當中的控制端與協議類型符合實際的網絡數據篩選條件,以實現對數據的實時轉發。
3防火墻的種類及具體的使用方面
3.1對于包過濾防火墻技術的敘述
包過濾技術主要是指有選擇性的對信息進行合理的判斷,分辨信息的實際意義,并拒絕不良信息傳輸的技術。包過濾防火墻主要通過網絡參考模型中的數據傳輸與控制,來實現相應計算機網絡的保護。例如,網絡傳輸工作當中,在對網絡傳輸的目的IP進行相應的保護工作時,能夠主動獲取信息傳輸中的IP,并對其中的數據包進行必要的分析與識別,以保證正確信息傳輸的安全性和可靠性。另一方面,包過濾防火墻技術可以在計算機的內部形成新的監測網,從內到外對信息進行全面的控制和監督,從而實現過濾數據、防御攻擊的目的[3]。另外,實際的包過濾防火墻技術往往應用在路由器和電腦的主機上,它可以通過實際的需求選擇內網封閉或者外網開放的應用形式來實現對數據的監控管理。
3.2應用型防火墻與網路型防火墻方面
對于應用型防火墻和網絡型防火墻的運用來說,網絡型防火墻主要是通過網絡的IP端口地址轉化、注冊來確保與外網的連接正確,加強對網絡的實時控制。在實際的計算機訪問網絡的時候,即內部網絡與外部網絡溝通的時候,網絡防火墻發揮主要作用,它能夠對自動的網絡終端地址和相應的端口進行監督、分析、管理,通過改變終端地址和外界網絡與實際端口的連接來保證網絡得到有效的控制。計算機的防火墻是為了保護計算機各項工作穩定進行的基礎,只有建立完善計算機防火墻,才能夠保證計算機各項數據的安全性,保證相應用戶的各項隱私。所有數據要進入系統必須經過防火墻的篩選與過濾,這就給防火墻保護功能的發揮提供了可能,例如通過對某一頻繁發送信息的IP進行鎖定,以抵御不法分子的攻擊。多防火墻聯合防御是提高網絡安全的重要方法。該技術方法結合了多種防火墻系統,對網絡防火墻采用多種類型共同配置的方式配置防火墻,在計算機的內部將防火墻的工作內容分層次、分等級的設置,以保證相互之間的工作不受沖突。多個防火墻組成的安全系統可以監控到不同區域的安全問題,各個防火墻通過相互之間的轉化,對網絡的不良信息進行分層次的過濾,達到提升網絡系統整體安全的目的。
4計算機網絡信息安全中防火墻技術的有效運用
計算機網絡的系統安全主要靠對整體網絡的實時監控來實現,簡單來說就是將先進的科學技術融入到計算機網絡系統當中,然后利用這些技術手段實現對網絡的全面管理,從而保證計算機用戶相關數據的機密性,保證相關數據的安全。在計算機實際使用的過程中,由于使用者之間存在一定的差異,他們對計算機安全防護墻的認識也并不全面。例如,計算機網絡使用者會認為防火墻的設置保護的是網絡形式的隱私和相應信息,同時認為防火墻能夠保證網絡不受外界各個因素的影響而安全運行。在網絡系統的專業人員看來,防火墻技術對維護網絡信息的安全具有一定的促進作用,其在網絡系統發生異常或者出現問題時,能夠保護網絡信息。對于網絡信息的交流而言,信息的傳送方可以將相應的信息加密處理,建立全面的安全網絡系統規則,從而實現計算機網絡與外界連接傳輸信息的機密性和安全性,保證在不法分子入侵系統時,無法窺探到信息的具體內容。計算機的網絡防火墻技術在維護計算機網絡信息安全上發揮了巨大的作用:
(1)計算機網絡防火墻能夠對存在風險的文件和信息進行有效的分析、研究、過濾,確認文件安全后傳輸到計算機當中,防止計算機被病毒侵入;
(2)計算機網絡防火墻能夠在一些沒有得到正確授權的登入者登入時,拒絕登入,及時防范不法分子侵入計算機盜取信息;
(3)計算機網絡防火墻也可以規范計算機用戶本身的操作,對于一些違規的和不安全的網站,能夠及時進行屏蔽,規范用戶安全、合法地使用計算機網絡。實際的工作當中,計算機網絡防火墻對于用戶來說,既是保障計算機網路安全的一種有效手段,又是規范用戶使用計算機網絡的一種行之有效的方式;
(4)對于一些企業或有工作需要的個人來說,計算機上涉及大量的數據,計算機網絡防火墻的存在使得用戶數據文件的安全得到保障,避免用戶數據的安全受到威脅,避免文件被盜。計算機網絡防火墻是保障計算機網絡安全的一項基本措施,因此,要不斷的將先進的技術融入到計算機網絡防火墻的建設當中,已對其不斷的進行優化管理,充分發揮計算機網絡防火墻的真正作用。
5結論
綜上所述,對于計算機網絡信息安全中防火墻技術的有效運用與分析要從實際的科學技術出發,將先進的科學技術與實際的計算機網絡防火墻相結合,建立安全網絡信息安全管理系統,使計算機用戶的實際信息得到可靠的保護;將網絡安全管理與防火墻相結合,對網絡數據進行必要的檢查的同時,注重對系統本身的監控管理,從而不斷的提高計算機網絡信息的安全性。
參考文獻:
[1]駱兵.計算機網絡信息安全中防火墻技術的有效運用分析[J].信息與電腦(理論版),20xx(9):193-194.[2]謝平.計算機網絡信息安全中防火墻技術的有效運用研究[J].通訊世界,20xx(19):97-98.[3]何承.計算機網絡安全中防火墻技術的有效運用分析[J].福建質量管理,20xx(1):171-172.
防火墻技術論文8摘要:
網絡技術的迅速發展,給人們生活帶來便利的同時一些網絡犯罪也逐漸出現,因此信息安全的保密工作成為網絡建設中的關鍵點,而防火墻技術就是其中重要的一個技術。防火墻相當一個屏障,豎立在內部網絡與外部網絡之間,保護內部網絡安全。本文闡述了防火墻的功能,實現防火墻的主要技術手段,并對防火墻技術的未來進行了展望。
關鍵詞:防火墻網絡安全發展趨勢
1防火墻概述
1.1防火墻的概念
防火墻主要是用來加強網絡之間的訪問和控制,以防止安全策略中禁止的通訊,從而保護計算機安全的一種硬件或軟件。它和建筑之中的防火墻功能有些類似,通常外部的網絡用戶以非法的手段從外部網絡進入內部網絡,訪問內部網絡資源,竊取數據。為了保護計算機的安全,防火墻對兩個或者以上的安全策略進行檢查,進行的通訊是否安全從而決定是否放行,同時也監視者網絡的運行狀態。設立防火墻的主要目的是出于信息的安全考慮,防止外部的用戶任意的瀏覽計算機內部信息和竊取數據,以達到保護計算機安全的目的。
1.2防火墻的功能
防火墻的功能主要有,隔離內外網絡,增加保密內容,防止信息被有意盜竊。建立檢查點,強化安全策略,記錄一些入侵途徑的日志,監控網絡情況,為預警提供方便等。
2防火墻與入侵檢測技術
2.1入侵檢測系統概述
入侵檢測是對一些有害的信息進行監測或者阻止,它可以對信息安全提供保障。根據檢測系統監測的對象是主機還是網絡,可以將入侵檢測系統主要分為兩種。
2.1.1基于主機的入侵檢測系統這類系統主要用于保護運行關鍵應用的服務器。通過查看日志文件,可以發現入侵或者入侵的企圖,并迅速的啟動應急程序,從而到達避開檢測系統的目的。
2.1.2基于網絡的入侵檢測系統這種入侵檢測系統通過在共享的網段上對數據的監聽來收集數據并分析可疑的對象數據,這種系統不要嚴格的審計,因此對主機的要求不高,而且還可以提供對網絡通用的的保護,不必去擔心不同主機的不同架構。
2.2入侵檢測系統面臨的挑戰
入侵檢測系統(IDS)是近些年來發展起來的一種動態安全防范技術,它主要是通過對一些關鍵點收集信息并對它們進行分析,看行為是否有被攻擊的跡象。這也是一種集檢測、記錄、報警、響應的動態安全技術,它不僅能檢查外部的入侵行為,也可以檢測內部的行為,這種檢測技術主要面臨著三個挑戰,分別表現在以下幾個方面:
(1)如何來提高檢測數據的速度以適應日益發展的網絡通信要求;
(2)如何來提高檢測系統的檢測安全性和準確性;
(3)如何來提高整個檢測系統的互動性能。這些挑戰在以后的信息安全問題中將繼續凸顯出來,所以只有繼續提高檢測技術來應對這些方面的挑戰。
2.3防火墻與入侵技術的結合從概念上我們可以看出防火墻是一種對入侵比較被動的防御,而入侵檢測相對來說是一種主動的防御。防火墻作為第一道防線,阻止了網絡層的攻擊,拒絕了一些明顯的攻擊數據但是還是放入了一些隱藏攻擊的數據,這時就需要入侵檢測技術的支持。如果防火墻加入了入侵檢測技術那么很快就會確認入侵者,這樣就大大的提高了防火墻的整體防御效力。下面是防火墻和入侵檢測系統的兩種合作方式。一種是緊密的結合。這種結合就是把入侵檢測技術配置到防火墻中。這種結合使得所有的數據在經過防火墻的同時也會接受入侵檢測技術的檢查。來判斷數據包是否有入侵嫌疑。從而達到即時阻擋。第二種是兩者之間拿出一個開放接口給對方調用,并且按照一定的協議進行交流。這種結合方式是在對防火墻和入侵檢測的優缺點進行分析后研究建立的模型,實現了功能上的優勢互補。無論是哪種方式,入侵檢測技術和防火墻的結合都很好的解決了防火墻可以阻擋但難發現入侵的弊端,同時也解決了入侵檢測技術容易發現進攻但難阻擋的劣勢。這樣的結合型防火墻不僅能快速的發現進攻而且還能夠及時做出反應來阻擋進攻。同時高效的收集有關入侵信息也給了入侵很大的威懾力。
3防火墻發展趨勢及前景
防火墻的一些安全問題暴露出防火墻的一些不足,防火墻開始出現了一種更高級的防火墻,這是也是防火墻一種設計理念的升華。這種較為先進的防火墻帶有檢測系統,它通過過濾數據來檢測入侵,這也是現有防火墻的一種主流模式了。在未來防火墻的檢測技術中將繼續聚合更多的范疇,這些聚合的范疇也很大的提高了防火墻的性能和功能的擴展,與此同時我們可以展望未來的防火墻必定是向著多功能化、高性能、智能化、更安全的方向發展。
3.1多功能化防火墻
現在防火墻已經出現了一種聚成多種功能的設計趨勢,入侵檢測這樣的功能很多出現在現在防火墻產品中了,這樣的設計給管理性能帶來了不少的提升。甚至會有更多新穎的設計出現在防火墻中,比如短信功能,當防火墻的規則被變更或者出現入侵攻擊的時候,報警行為會通過多種途徑將消息發送到管理員手中,包括即時短信,或者電話呼叫。以確保安全行為第一時間即被啟動。也許在不久的將來我們就可以在防火墻產品上看到更多更出色的功能設計。
3.2高性能防火墻
另外一種趨勢是性能的提高,未來的防火墻在功能上的提高一定會伴隨著性能的提升,特別是數據的流量日益復雜更需要性能的保障。如果只是要求性能的提高必然會出現問題。單純的流量過濾性能問題是比較容易解決的問題,但是與應用層涉及越密,性能提高需要面對的問題就會越來越復雜。特別是在大型應用環境中防火墻規則庫有幾萬的記錄,這對防火墻的負荷來說是很大的考驗,所以一些并行處理技術的高性能防火墻將出現在人們的眼中。
3.3智能化防火墻
網絡中的一些以垃圾電子郵件的發送,惡意性網站網頁的彈出問題等,這些已經不是簡單的防火墻技術可以解決的。傳統防火墻解決的效果差而且效果也不好,所以智能防火墻在未來的發展趨勢中也必定發揮出相應的作用。所以不論是從功能還是性能或者其他方面來說防火墻在今后都將會迅速發展,這也是反映了信息安全對防火墻的要求,同時也是防火墻的發展趨勢。
參考文獻
[1]劉彥保.防火墻技術及其在網絡安全中的應用[J].安徽教育學院學報,20xx.[2]龍毅.探討防火墻技術的網絡安全[M].硅谷.20xx,(6):181-181.
第四篇:淺析計算機網絡安全和防火墻技術 論文
JIU JIANG UNIVERSITY
畢 業 論 文
題 目: 淺析計算機網絡安全和防火墻技術
院 系: 信息科學與技術學院 專 業: 網絡系統管理 姓 名:
年 級: 指導老師 :
二零一一年十一月二十日
摘 要
隨著時代的發展,Internet日益普及,網絡已經成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機構的網絡,經常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網絡數據和文件丟失,系統癱瘓。因此,計算機網絡系統安全問題必須放在首位。作為保護局域子網的一種有效手段,防火墻技術備受睞。
本文主要闡述了網絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰不殆。只有了解了網絡安全存在的內憂外患,才能更好的改善網絡安全技術,發展網絡安全技術。然后主要闡述防火墻在網絡安全中起到的巨大的作用,防火墻的優缺點及各種類型防火墻的使用和效果。
計算機網絡技術的在飛速發展中,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要,只有熟悉了各種對網絡安全的威脅,熟悉各種保護網路安全的技術,我們才能更好的保護計算機和信息的安全。
關鍵字:計算機網絡;網絡安全;防范措施;防火墻技術
II
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
III
目錄
摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網絡安全概述.....................................................6 1.1計算機網絡安全的含義...........................................................6 1.2網絡信息安全的主要威脅.........................................................6 1.2.1自然威脅...................................................................6 1.2.2人為威脅—黑客攻擊與計算機病毒.............................................6 1.3計算機網絡中的安全缺陷及產生原因...............................................8 1.5影響計算機網絡安全的因素.......................................................8 第二章 計算機網絡安全防范策略..........................................10 2.1防火墻技術....................................................................10 2.2 數據加密與用戶授權訪問控制技術..............................................12 2.3 入侵檢測技術.................................................................13 2.4防病毒技術....................................................................13 2.4.1 對付病毒有以下四種基本方法.................................................14 2.5安全管理隊伍的建設............................................................17 第三章防火墻技術........................................................18 3.1防火墻的定義..................................................................18 3.2防火墻的功能..................................................................18 3.2.1防火墻是網絡安全的屏障......................................................18 3.2.2防火墻的種類................................................................18 3.3 防火墻的技術原理............................................................18 3.4 防火墻的應用.................................................................19 3.4.1個人防火墻的應用............................................................19 3.4.2防火墻技術在校園網中應用....................................................23 結論...................................................................25 致謝...................................................................26 參考文獻...............................................................27 IV
引言
近年來,隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,計算機網絡的安全性變得日益重要起來,由于計算機網絡聯接形式的多樣性、終端分布的不均勻性、網絡的開放性和網絡資源的共享性等因素,致使計算機網絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網絡暢通,研究計算機網絡的安全與防護措施已迫在眉捷,但網絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網絡安全問題離自己尚遠,這一點從大約有40%以上的用戶特別是企業級用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數的黑客入侵事件都是由于未能正確安裝防火墻而引發,所以防火墻技術應當引起我們的注意和重視。
本文主要研究網絡安全的缺陷原由及網絡安全技術的原理和其他技術,如防火墻技術對網絡安全起到的不可忽視的影響。
第一章 網絡安全概述
1.1計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。
1.2網絡信息安全的主要威脅
網絡安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1自然威脅
自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和電磁干擾、網絡設備的自然老化等。這些無目的的事件,有時會直接威脅網絡的安全,影響信息的存儲媒體。威脅分別有:
1.自然災害(如雷電、地震、火災、水災等),物理損壞(如硬盤損壞、設備使用壽命到期、外力破損等),設備故障(如停電斷電、電磁干擾等),意外事故。
2.電磁泄漏(如偵聽微機操作過程)。
3.操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏(如系統掉電、死機等系統崩潰)
4.計算機系統機房環境的安全。
1.2.2人為威脅—黑客攻擊與計算機病毒
人為威脅就是說對網絡的人為攻擊。這些攻擊手段都是通過尋找系統的弱點【2】,以便達到破壞、欺騙、竊取數據等目的,造成經濟上和政治上不可估量的損失。網絡安全的人為威脅主要分為以下幾種: ? 網絡缺陷
Intemet由于它的開放性迅速在全球范圍內普及,但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應的安全監督機制。
? 黑客攻擊
自1998年后,網上的黑客越來越多,也越來越猖獗;與此同時黑客技術逐漸被越來越多的人掌握現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,這是網絡安全的主要威脅之一。? 各種病毒
病毒時時刻刻威脅著整個互聯網。像Nimda和CodeRed的爆發更是具有深遠的影響,促使人們不得不在網絡的各個環節考慮對于各種病毒的檢測防治,對病毒徹底防御的重要性毋庸置疑。? 管理的欠缺及資源濫用
很多上了互聯網的企業缺乏對于網絡安全的認識,管理上存在很多漏洞,特別是國內的企業,只是提供了接入Internet的通道,對于網絡上黑客的攻擊缺乏基本的應對措施,同時企業內部普遍存在資源濫用現象,這是造成網絡安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規模越來越大,軟件系統中的漏洞也不可避免的存在,強大如微軟所開發的Windows也存在。各種各樣的安全漏洞和“后門”,這是網絡安全的主要威脅之一。? 網絡內部用戶的誤操作和惡意行為
對于來自網絡內部的攻擊,主流的網絡安全產品防火墻基本無能為力,這類攻擊及其誤操作行為需要網絡信息審計、IDS等主要針對內部網絡安全的安全產品來抵御。
? 網絡資源濫用
網絡有了安全保證和帶寬管理,依然不能防止員工對網絡資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯網,盡量避免網絡對工作帶來負面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發布,可能會造成敏感信息泄漏、有害信息擴散,危及社會、國家、體和個人利益。更有基于競爭需要,利用技術手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重,計算機病毒是利用程序干擾破壞系統正常工作的一種手段,它的產生和蔓延給信息系統的可靠性和安全性帶來嚴重的威脅和巨大的損失。? 操作系統存在的安全問題
操作系統是作為一個支撐軟件,使得你的程序或別的應用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
? 數據庫存儲的內容存在的安全問題
數據庫管理系統大量的信息存儲在各種各樣的數據庫里面,包括我們上網看到的所有信息,數據庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問權限進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對于數據庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止數據庫被破壞和非法的存取;數據庫的完整性是防止數據庫中存在不符合語義的數據。
1.3計算機網絡中的安全缺陷及產生原因
①網絡安全天生脆弱
計算機網絡安全系統的脆弱性是伴隨計算機網絡一同產生的,換句話說,安全系統脆弱是計算機網絡與生俱來的致命弱點。在網絡建設中,網絡特性決定了不可能無條件、無限制的提高其安全性能。要使網絡更方便快捷,又要保證網絡安全,這是一個非常棘手的“兩難選擇”,而網絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。可以說世界上任何一個計算機網絡都不是絕對安全的
②黑客攻擊后果嚴重
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網絡中斷,軍事指揮系統失靈,電力供水系統癱瘓,銀行金融系統混亂??危及國家的政治、軍事、經濟的安全與穩定,在世界各國造成了難以估量的損失。
③網絡殺手集團化
目前,網絡殺手除了一般的黑客外,還有一批具有高精尖技術的“專業殺手”,更令人擔憂的是出現了具有集團性質的“網絡恐怖分子”甚至政府出面組織的“網絡戰”、“黑客戰”,其規模化、專業性和破壞程度都使其他黑客望塵莫及。可以說,由政府組織的“網絡戰”、“黑客戰”是當前網絡安全的最大隱患。目前,美國正開展用無線電方式、衛星輻射式注入方式、網絡方式把病毒植入敵方計算機主機或各類傳感器、網橋中的研究以伺機破壞敵方的武器系統、指揮控制系統、通信系統等高敏感的網絡系統。另外,為達到預定目的,對出售給潛在敵手的計算機芯片進行暗中修改,在CPU中設置“芯片陷阱”,可使美國通過因特網發布指令讓敵方電腦停止工作,以起到“定時炸彈”的作用。
1.5影響計算機網絡安全的因素
①網絡資源的共享性
資源共享是計算機網絡應用的主要目的,但這為系統安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯網需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網絡數據包。
②網絡的開放性
網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的敏感性信息。
③網絡操作系統的漏洞
網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一,它不僅
負責網絡硬件設備的接口封裝,同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性,決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。
④網絡系統設計的缺陷
網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下,還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。
⑤惡意攻擊
就是人們常見的黑客攻擊及網絡病毒,這是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
第二章 計算機網絡安全防范策略
計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,任何一個單獨的組件都無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。2.1防火墻技術
防火墻
防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續控制引擎。在電腦術語中,當然就不是這個意思了,我們可 以類比來理解,在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火墻(FireWall)成為近年來新興的保護計算機網絡安全技術性措施。它是一種隔離控制技術,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止重要信息從企業的網絡上被非法輸出。作為Internet網的安全性保護軟件,FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全,在企業網和Internet間設立FireWall軟件。企業信息系統對于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶,則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW服務器向外部提供信息,那么就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對于路由器來說,就要不僅分析IP層的信息,而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器 上以保護一個子網,也可以安裝在一臺主機上,保護這臺主機不受侵犯。
為了讓大家更好地使用防火墻,我們從反面列舉4個有代表性的失敗案例。例1:未制定完整的企業安全策略
網絡環境:某中型企業購買了適合自己網絡特點的防火墻,剛投入使用后,發現以前局域網中肆虐橫行的蠕蟲病毒不見了,企業網站遭受拒絕服務攻擊的次數也大大減少了,為此,公司領導特意表揚了負責防火墻安裝實施的信息部。
該企業網絡環境如圖2.1所示:
圖2.1 該企業內部網絡的核心交換機是帶路由模塊的三層交換機,出口通過路由器和ISP連接。內部網劃分為5個VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據部門級別設置訪問權限;VLAN 4分配給交換機出口地址和路由器使用;VLAN 5分配給公共服務器使用。在沒有加入防火墻之前,各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN 4中的空閑IP地址,并把網關指向路由器;將VLAN 5接入到防火墻的一個網口上。這樣,防火墻就把整個網絡分為3個區域: 內部網、公共服務器區和外部網,三者之間的通信受到防火墻安全規則的限制。
問題描述:防火墻投入運行后,實施了一套較為嚴格的安全規則,導致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號上網,導致感染了特洛依木馬和蠕蟲等病毒,并立刻在公司內部局域網中傳播開來,造成內部網大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護網絡安全的設備,必須部署在受保護網絡的邊界處,只有這樣防火墻才能控制所有出入網絡的數據通信,達到將入侵者拒之門外的目的。如果被保護網絡的邊界不惟一,有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網行為,使得許多PC機通過電話線和Internet相連,導致網絡邊界不惟一,入侵者可以通過攻擊這些PC機然后進一步攻擊內部網絡,從而成功地避開了防火墻。
解決辦法:根據自己企業網的特點,制定一整套安全策略,并徹底地貫徹實施。比如說,制定一套安全管理規章制度,嚴禁員工私自撥號上網;同時封掉撥號上網的電話號碼,并購買檢測撥號上網的軟件,這樣從管理和技術上杜絕出現網絡邊界不惟一的情況發生。另外,考慮到企業員工的需求,可以在防火墻上添加按照時間段生效的安全規則,在非工作時間打開QQ使用的TCP/UDP端口,使得企業員工可以在工余時間使用QQ聊天軟件。
例2:未考慮與其他安全產品的配合使用
問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測系統)產品。當系統管理員利用IDS發現入侵行為后,必須每次都要手工調
整防火墻安全策略,使管理員工作量劇增,而且經常調整安全策略,也給整個網絡帶來不良影響。
問題分析:選購防火墻時未充分考慮到與其他安全產品如IDS的聯動功能,導致不能最大程度地發揮安全系統的作用。
解決辦法:購買防火墻前應查看企業網是否安裝了漏洞掃描或IDS等其他安全產品,以及具體產品名稱和型號,然后確定所要購買的防火墻是否有聯動功能(即是否支持其他安全產品,尤其是IDS產品),支持的是哪些品牌和型號的產品,是否與已有的安全產品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產品聯動的防火墻。這樣,當IDS發現入侵行為后,在通知管理員的同時發送消息給防火墻,由防火墻自動添加相關規則,把入侵者拒之門外。
例3:未經常維護升級防火墻 問題描述:某政府機構購置防火墻后已安全運行一年多,由于該機構網絡結構一直很穩定,沒有什么變化,各種應用也運行穩定,因此管理員逐漸放松了對防火墻的管理,只要網絡一直保持暢通即可,不再關心防火墻的規則是否需要調整,軟件是否需要升級。而且由于該機構處于政府專網內,與Internet物理隔離,防火墻無法實現在線升級。因此該機構的防火墻軟件版本一直還是購買時的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發來的軟件升級包,但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網也受到蠕蟲病毒的感染,該機構防火墻因為沒有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個機構的內部網大面積受感染,網絡陷于癱瘓之中。
問題分析:安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應付不斷發展的入侵手段,過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說,應當時刻留心廠家發布的升級包,及時給防火墻打上最新的補丁。
解決辦法:及時維護防火墻,當本機構發生人員變動、網絡調整和應用變化時,要及時調整防火墻的安全規則,及時升級防火墻。
從以上三個案例我們可以得出一些結論:防火墻只是保證安全的一種技術手段,要想真正實現安全,安全策略是核心問題。保護網絡安全不僅僅是防火墻一種產品,只有將多種安全產品無縫地結合起來,充分利用它們各自的優點,才能最大限度地保證網絡安全。而保護網絡安全是動態的過程,防火墻需要積極地維護和升級。
2.2 數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法,這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法
2.3 入侵檢測技術
入侵檢測系統(IntrusionDetectionSystem,IDS)是從多種計算機系統及網絡系統中收集信息,再通過此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入策略集中,增強系統的防范能力,避免系統再次受到同類型的入侵【6】。
入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現在以下方面: 1)分析用戶及系統活動,查找非法用戶和合法用戶的越權操作; 2)檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞; 3)識別反映已知進攻的活動模式并向相關人上報警; 4)對異常行為模式的統計分析;
5)能夠實時地對檢測到的入侵行為進行反應; 6)評估重要系統和數據文件的完整性; 7)可以發現新的攻擊模式; 入侵檢測方法
方法有很多,如基于專家系統入侵檢測方法、基于神經網絡的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式并向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
入侵檢測技術同樣存在問題
1.現有的入侵檢測系統檢測速度遠小于網絡傳輸速度, 導致誤報率和漏報率
2.入侵檢測產品和其它網絡安全產品結合問題, 即期間的信息交換,共同協作發現攻擊并阻擊攻擊
3.基于網絡的入侵檢測系統對加密的數據流及交換網絡下的數據流不能進行檢測, 并且其本身構建易受攻擊
4.入侵檢測系統體系結構問題
2.4 防病毒技術
計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統的傳染和
破壞。實際上這是一種動態判定技術,即一種行為規則判定技術。也就是說,計算機病毒的預防是采用對病毒的規則進行分類處理,而后在程序運作中凡有類似的規則出現則認定是計算機病毒。具體來說,計算機病毒的預防是通過阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作,尤其是寫操作。
預防病毒技術包括:磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控技術等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護,監視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令,并且判斷磁盤當前所處的狀態:哪一個磁盤將要進行寫操作,是否正在進行寫操作,磁盤是否處于寫保護等,來確定病毒是否將要發作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前,對已知病毒的預防可以采用特征判定技術或靜態判定技術,而對未知病毒的預防則是一種行為規則的判定技術,即動態判定技術。
一、計算機病毒的預防技術
計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統的傳染和破壞。實際上這是一種動態判定技術,即一種行為規則判定技術。也就是說,計算機病毒的預防是采用對病毒的規則進行分類處理,而后在程序運作中凡有類似的規則出現則認定是計算機病毒。具體來說,計算機病毒的預防是通過阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作,尤其是寫操作。
預防病毒技術包括:磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控技術等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護,監視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令,并且判斷磁盤當前所處的狀態:哪一個磁盤將要進行寫操作,是否正在進行寫操作,磁盤是否處于寫保護等,來確定病毒是否將要發作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前,對已知病毒的預防可以采用特征判定技術或靜態判定技術,而對未知病毒的預防則是一種行為規則的判定技術,即動態判定技術。
二、檢測病毒技術
計算機病毒的檢測技術是指通過一定的技術手段判定出特定計算機病毒的一種技術。它有兩種:一種是根據計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎上建立的病毒檢測技術。另一種是不針對具體病毒程序的自身校驗技術。即對某個文件或數據段進行檢驗和計算并保存其結果,以后定期或不定期地以保存的結果對該文件或數據段進行檢驗,若出現差異,即表示該文件或數據段完整性已遭到破壞,感染上了病毒,從而檢測到病毒的存在。
三、清除病毒技術
計算機病毒的清除技術是計算機病毒檢測技術發展的必然結果,是計算機病毒傳染程序的一種逆過程。目前,清除病毒大都是在某種病毒出現后,通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發展往往是被動的,帶有滯后性。而且由于計算機軟件所要求的精確性,解毒軟件有其局限性,對有些變種病毒的清除無能為力。目前市場上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我國的LANClear和Kill89等產品均采用上述三種防病毒技術
2.4.1 對付病毒有以下四種基本方法
1、基于網絡目錄和文件安全性方法
以NetWare為例,在NetWare中,提供了目錄和文件訪問權限與屬性兩種安全性措施。“訪問權限有:防問控制權、建立權、刪除權、文件掃描權、修改權、讀權、寫權和管理權。屬性有:需歸檔、拷貝禁止、刪除禁止、僅執行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統和交易。屬性優先于訪問權限。根據用戶對目錄和文件的操作能力,分配不同的訪問權限和屬性。例如,對于公用目錄中的系統文件和工具軟件,應該只設置只讀屬性,系統程序所在的目錄不要授予修改權和管理權。這樣,病毒就無法對系統程序實施感染和寄生,其它用戶也就不會感染病毒。
由此可見,網絡上公用目錄或共享目錄的安全性措施,對于防止病毒在網上傳播起到積極作用。至于網絡用戶的私人目錄,由于其限于個別使用,病毒很難傳播給其它用戶。采用基于網絡目錄和文件安全性的方法對防止病毒起到了一定作用,但是這種方法畢竟是基于網絡操作系統的安全性的設計,存在著局限性。現在市場上還沒有一種能夠完全抵御計算機病毒侵染的網絡操作系統,從網絡安全性措施角度來看,在網絡上也是無法防止帶毒文件的入侵。
2、采用工作站防病毒芯片
這種方法是將防病毒功能集成在一個芯片上,安裝在網絡工作站上,以便經常性地保護工作站及其通往服務器的路徑。工作站是網絡的門戶,只要將這扇門戶關好,就能有效地防止病毒的入侵。將工作站存取控制與病毒保護能力合二為一插在網卡的EPROM槽內,用戶也可以免除許多繁瑣的管理工作。
Trend Micro Devices公司解決的辦法是基于網絡上每個工作站都要求安裝網絡接口卡網絡接口卡上有一個Boot Rom芯片,因為多數網卡的Boot Rom并沒有充分利用,都會剩余一些使用空間,所以如果安全程序夠小的話,就可以把它安裝在網絡的Boot Rom的剩余空間內,而不必另插一塊芯片。
市場上Chipway防病毒芯片就是采用了這種網絡防病毒技術。在工作站DOS引導過程中,ROMBIOS,Extended BIOS裝入后,Partition Table裝入之前,Chipway獲得控制權,這樣可以防止引導型病毒。Chipway的特點是:①不占主板插槽,避免了沖突;②遵循網絡上國際標準,兼容性好;③具有他工作站防毒產品的優點。但目前,Chipway對防止網絡上廣為傳播的文件型病毒能力還十分有限。
3、采用Station Lock網絡防毒方法
Station Lock是著名防病毒產品開發商Trend Micro Devices公司的新一代網絡防病毒產品。其防毒概念是建立在”病毒必須執行有限數量的程序之后,才會產生感染效力“的基礎之上。例如,病毒是一個不具自我辨別能力的小程序,在病毒傳染過程中至少必須攔截一個DOS中斷請求,而且必須試圖改變程序指針,以便讓系統優先執行病毒程序從而獲得系統控制權。引導型病毒必須使用系統的BIOS功能調用,文件型病毒必須將自己所有的程序代碼拷貝到另一個系統執行文件時才能復制感染。混合型病毒和多形體病毒在實施感染之前也必須獲取系統控制權,才能運行病毒體程序而實施感染。Station Lock就是通過這些特點,用間接方法觀察,精確地預測病毒的攻擊行為。其作用對象包括多型體病毒和未來型病毒。
Station Lock也能處理一些基本的網絡安全性問題,例如存取控制、預放未授權拷貝以及在一個點對點網絡環境下限制工作站資源相互存取等。Station Lock能根據病毒活動辯別可能的病毒攻擊意圖,并在它造成任
何破壞之前予以攔截。由于Station Lock是在啟動系統開始之前,就接管了工作站上的硬件和軟件,所以病毒攻擊Station Lock是很困難的。Station Lock是目前網絡環境下防治病毒比較有效的方法。
4、基于服務器的防毒技術
服務器是網絡的核心,一旦服務器被病毒感染,就會使服務器無法啟動,整個網絡陷于癱瘓,造成災難性后果。目前基于服務器的防治病毒方法大都采用了NLM(NetWare Load Module)技術以NLM模塊方式進行程序設計,以服務器為基礎,提供實時掃描病毒能力。市場上的產品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務器為基礎的防病毒技術。這些產品的目的都是保護服務器,使服務器不被感染。這樣,病毒也就失去了傳播途徑,因而從根本上杜絕了病毒在網上蔓延。
(1)對服務器中所有文件掃描
這一方法是對服務器的所有文件進行集中檢查看其是否帶毒,若有帶毒文件,則提供給網絡管理員幾種處理方法。允許用戶清除病毒,或刪除帶毒文件,或更改帶毒文件名成為不可執行文件名并隔離到一個特定的病毒文件目錄中。
(2)實時在線掃描
網絡防病毒技術必須保持全天24小時監控網絡是否有帶毒文件進入服務器。為了保證病毒監測實時性,通常采用多線索的設計方法,讓檢測程序作為一個隨時可以激活的功能模塊,且在NetWare運行環境中,不影響其它線索的運行。這往往是設計一個NLM最重要的部分,即多線索的調度。實時在線掃描能非常及時地追蹤病毒的活動,及時告之網絡管理員和工作站用戶。
(3)掃描選擇
該功能允許網絡管理員定期檢查服務器中是否帶毒,例如可按每月、每星期、每天集中掃描一下網絡服務器,這樣就使網絡用戶擁有極大的操作選擇余地。
(4)自動報告功能及病毒存檔
當網絡用戶將帶毒文件有意或無意地拷入服務器中時,網絡防病毒系統必須立即通知網絡管理員,或涉嫌病毒的使用者,同時自己記入病毒檔案。病毒檔案一般包括:病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標識等,另外,記錄對病毒文件處理方法。
(5)工作站掃描
基于服務器的防病毒軟件不能保護本地工作站的硬盤,有效的方法是在服務器上安裝防毒軟件,同時在上網的工作站內存中調入一個常駐掃毒程序,實時檢測在工作站中運行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。
(6)對用戶開放的病毒特征接口
大家知道病毒及其變種層出不窮。據有關資料報道,截止1994年2月25日,全世界流傳的MSDOS病毒達2700多種。如何使防病毒系統能對付不斷出現的新病毒?這要求開發商能夠使自己的產品具有自動升級功能,也就是真正交給網絡
用戶防治病毒的一把金鑰匙。其典型的做法是開放病毒特征數據庫。用戶隨時將遇到的帶毒文件,經過病毒特征分析程序,自動將病毒特征加入特征庫,以隨時增強抗毒能力。當然這一工作難度極大,需要不懈的努力。在上述四種網絡防毒技術中,Station Lock是一種針對病毒行為的防治方法,StationLock目前已能提供Intel以太網絡接口卡支持,而且未來還將支持各種普及型的以太令牌環(Token-Ring)網絡接口卡。基于服務器的防治病毒方法,表現在可以集中式掃毒,能實現實時掃描功能,軟件升級方便。特別是當連網的機器很多時,利用這種方法比為每臺工作站都安裝防病毒產品要節省成本。其代表性的產品有LANdesk、LANClear for NetWare等。
2.5 安全管理隊伍的建設
在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,只有通過網絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。
第三章 防火墻技術
3.1 防火墻的定義
防火墻是指設置在不同網絡或網絡安全域之間信息的唯一出入口,能根據網絡的安全政策控制(允許拒絕監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
Internet防火墻是一個或一組系統,它能增強機構內部網絡的安全性,用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據被竊取,防火墻系統還決定了哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的服務,以及哪些外部服務何時可以被內部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經過防火墻并接受檢查。防火墻必須只允許授權的數據通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統一旦被攻擊突破或迂回繞過,就不能提供任何保護了。3.2防火墻的功能
3.2.1 防火墻是網絡安全的屏障
防火墻(作為阻塞點,控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。
防火墻可以強化網絡安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上,對網絡存取和訪問進行監控審計:所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據,當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。防止內部信息的外泄,通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。3.2.2防火墻的種類
防火墻技術可根據防范的方式和側重點的不同,總體來講可分為二大類:分組過濾,應用代理。
分組過濾(Packetfiltering);作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號,協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。
應用代理(ApplicationProxy):也叫應用網關(ApplicationGateway), 它作用在應用層,其特點是完全 “ 阻隔 ” 了網絡通信流通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用,實際中的應用網關通常由專用工作站實現【8】。
3.3 防火墻的技術原理
目前,防火墻系統的工作原理因實現技術不同,大致可分為三種:(1)包過濾技術
包過濾技術是一種基于網絡層的防火墻技術。根據設 置好的過濾規則,通
過檢查IP數據包來確定是否該數據包通過。而那些不符合規定的IP地址會被防火墻過濾掉,由此保證網絡系統的安全。該技術通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術,其最大優點就是價格便宜,實現邏輯簡單便于安裝和使用。
缺點:1)過濾規則難以配置和測試。2)包過濾只訪問網絡層和傳輸層的信息,訪問信息有限,對網絡更高協議層的信息無理解能力。3)對一些協議,如UDP和RPC難以有效的過濾。
(2)代理技術
代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網絡之間設置一個“中間檢查站”,兩邊的網絡應用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器,它運行在兩個網絡之間,對網絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉發到真實的服務器上,并將答復再轉發給用戶。代理服務器是針對某種應用服務而寫的,工作在應用層。
優點:它將內部用戶和外界隔離開來,使得從外面只能看到代理服務器而看不到任何內部資源。與包過濾技術相比,代理技術是一種更安全的技術【9】。
缺點:在應用支持方面存在不足,執行速度較慢。(3)狀態監視技術 這是第三代防火墻技術,集成了前兩者的優點。能對網絡通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接,不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過己知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
狀態監視器的監視模塊支持多種協議和應用程序,可方便地實現應用和服務的擴充。此外,它還可監測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監測,狀態監視器實現網絡安全的目的。目前,多使用狀態監測防火墻,它對用戶透明,在OSI最高層上加密數據,而無需修改客戶端程序,也無需對每個需在防火墻上運行的服務額外增加一個代理。
要想建立一個真正行之有效的安全的計算機網絡,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如加密技術、防病毒技術等綜合應用,才起到防御的最大化的效果。3.4 防火墻的應用
3.4.1 個人防火墻的應用 瑞星個人防火墻的應用 1)安裝
第一步啟動安裝程序。
當把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運行安裝程序,就可以進行瑞星個人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產品序列號和用戶ID。
啟動個人防火墻,當出現如圖3.2下所示的窗口后,在相應位置輸入您購買獲得的產品序列號和用戶ID,點擊“確定”,通過驗證后則會提示“您的瑞星個人防火墻現在可以正常使用”。
圖3.2 常見問題:不輸入產品序列號和用戶ID,產品將無法升級,防火墻保護功能將全部失效,您的計算機將無法抵御黑客攻擊。
2)升級
第一步網絡配置:
?打開防火墻主程序
?在菜單中依次選擇【設置】/【設置網絡】,打開【網絡設置】窗口,如圖3.3
圖3.3 1。設定網絡連接方式,如果設定“通過代理服務器訪問網絡”,還需要輸入代理服務器IP、端口、身份驗證信息。
2。您可以選中【使用安全升級模式】,確保升級期間阻止新的網絡連接 3。點擊【確定】按鈕完成設置
小提示:
1。如果您已經可以瀏覽網頁,說明網絡設置已經配置好了,這里直接使用默認設置即可。
2。如果您不使用撥號方式上網,將不會看到界面中【使用撥號網絡連接】的選項以及相關設置。
3。請確保此步設置正確,否則可能無法完成智能升級。
第二步:智能升級
完成網絡配置后,進行智能升級的操作方法:
方法一:點擊主界面右側的【智能升級】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級】
方法三:右鍵點擊防火墻托盤圖標,在彈出菜單中選擇【啟動智能升級】 3)啟動瑞星個人防火墻下載版程序
啟動瑞星個人防火墻軟件主程序有三種方法:
方法一:進入【開始】/【所有程序】/【瑞星個人防火墻】,選擇【瑞星個人防火墻】即可啟動。
方法二:用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。方法三:用鼠標單擊任務欄“快速啟動”上的【瑞星個人防火墻】快捷圖標
即可啟動。
成功啟動程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進行菜單操作的窗口,包括【操作】、【設置】、【幫助】三個菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側,包括【啟動/停止保護】、【連接/斷開網絡】、【智能升級】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護功能,執行此功能后,您計算機將不再受瑞星防火墻的保護已處于停止保護狀態時,此按鈕將變為【啟用保護】;點擊將重新啟用防火墻的保護功能,您也可以通過菜單項【操作】/【停止保護】來執行此功能;將您的計算機完全與網絡斷開,就如同拔掉網線或是關掉Modem一樣。其他人都不能訪問您的計算機,但是您也不能再訪問網絡。這是在遇到頻繁攻擊時最為有效的應對方法;已經斷開網絡后,此項將變為【連接網絡】,點擊將恢復網絡連接;您也可以通過菜單項【操作】/【斷開網絡】來執行此功能;啟動智能升級程序對防火墻進行升級更新;您也可以通過菜單項【操作】/【智能升級】來執行此功能;啟動日志顯示程序;您也可能通過【操作】/【顯示日志】來執行此
功能。
3、標簽頁:
位于主界面上部,分【工作狀態】、【系統狀態】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:
圖3。8
4、安全級別:
位于主界面右下角,拖動滑塊到對應的安全級別,修改立即生效。
5、當前版本及更新日期:
位于主界面右上角,顯示防火墻當前版本及更新日期。
6、規則設置
配置防火墻的過濾規則(如圖3。9),包括: 黑名單:在黑名單中的計算機禁止與本機通訊
白名單:在白名單中的計算機對本地具有完全的訪問權限
端口開關:允許或禁止端口中的通訊,可簡單開關本機與遠程的端口 可信區:通過可信區的設置,可以把局域網和互聯網區分對待 IP規則:在IP層過濾的規則
訪問規則:本機中訪問網絡的程序的過濾規則
圖3。9 3.4.2 防火墻技術在校園網中應用
一、安裝防火墻
防火墻技術在校園網安全建設中得到廣泛的應用。由于防火墻是一種按某種規則對專網和互聯網,或對互聯網的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發生的網絡間通信的系統部署防火墻技術[10],構筑內外網之間的安全屏障,可以有效地將內部網與外部網隔離開來,保護校園網絡不受未經授權的第三方侵入。
二、校園網防火墻系統的配置
假定校園網通過Cisco路由器與INTERNET相連。校園內的IP地址范圍是確
定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務器,可采用以下存取控制策略。
1)對進入CERNET主干網的存取控制
2)對網絡中心資源主機的訪問控制,網絡中心的DNS、Email、FTP、WWW等服務器是重要的資源,要特別的保護,可對網絡中心所在子網禁止,DNS,Email,WWW,FTP以外的一切服務。
3)對校外非法網址的訪問,一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止IP地址欺騙和盜用需為對網絡內部人員訪問Internet進行一定限制在連接內部網絡的端口接收數據時進行IP地址和以太網地址檢查,盜用IP地址的數據包將被丟棄,并記錄有關信息;再連接 Internet 端接收數據時,如從外部網絡收到一段假冒內部IP地址發出的報文,也應丟棄,并記錄有關信息。防止IP地址被盜用的徹底解決辦法是:代理服務器防火墻和捆綁IP地址和以太網地址,對非法訪問的動態禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應在路由器和校園網的以太口預設控制組102,然后過濾掉來自非法地址的所有IP包。
結論
計算機網絡的安全問題越來越受到人們的重視,一個安全的計算機網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和每個使用者的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
防火墻不能完全解決網絡安全的全部問題,如不能防范內部攻擊等,因此還需要考慮其他技術的和非技術的因素,如身份鑒別,信息加密術,提高網絡管理人員的安全意識等,總之,防火墻是網絡安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統的高速高效運行,不斷提高網絡安全水平,這將是一個隨著網絡技術的發展而不斷研究的課題。
致謝
本文是在指導老師胡楠老師的悉心教導下完成的。寫論文的這段時間,老師淵博的學識,嚴謹的治學太多和細心指導,以及他給我的支持和鼓勵使我終身難忘,我所取得的每一點成就都與導師的熱心關懷和精心指導是分不開的,值此論文完成之際,特別向導師致以衷心的感謝各崇高的敬意。
本課題的完成過程中,本人還得到了同學們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學生活的各位室友,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進入課題到論文的順利完成,有多少可敬的師長、同學、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!我還要感謝培養我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時間對本文進行審閱,評議和參與本人論文答辯的各位老師表示感謝。
參考文獻
[1]張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75 [2]石淑華,池瑞楠,計算機網絡安全技術(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強,王立新等,TCP/IP協議與網絡管理,北京清華大學出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網絡安全2004年07期,Pag28—29 [5]陳愛民,計算機的安全與保密,北京電子工業出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網絡安全入侵檢測研究綜述軟件學報
[7]石淑華,池瑞楠,計算機網絡安全技術(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網關—網絡邊界防護的利器,信息安全與通信保密,2004年08期75 [9]陳平,何慶等主編,電腦2003合訂本,西南師范大學出版社,2004年1月 [10] 張穎,劉軍,王磊,計算機網絡安全的現狀及解決方法[N]電腦商情報 ,2007年1月
第五篇:internet防火墻技術淺論文
INTERNET防火墻技術淺談
專業
計算機科學技術
日期
2007年7月
樓可挺著
2007年
陜西師范大學
目錄 引言…………………………………………………………………..1 2 internet防火墻技術簡介…………………………………………….2
2-1 什么是防火墻…………………………………………………...2
2-2 防火墻能做什么………….……………………………………..2
2-2-1 防火墻是網絡安全的屏障…………………………………...22-2-2防火墻可以強化網絡安全策略………………………………2
2-2-3對網絡存取和訪問進行監控審計……………………………2
2.2.4防止內部信息的外泄………………………………………….2
2-3 防火墻的種類…………………………………………………..2
2-3-1 分組過濾……………………………………………………...2
2-3-2 應用代理……………………………………………………...2
2-4 分組過濾類防火墻……………………………………………..2
2-5 應用代理型防火墻……………………………………………..2
2-6 復合型防火墻…………………………………………………...2
2-7 防火墻操作系統………………………………………………...2
2-8 NAT技術………………………………………………………....2
2-9 防火墻的抗攻擊能力…………………………………………...2
2-10 防火墻的局限性……………………………………………….2 3 防火墻的配置………………………………………………………..3
3-1雙宿主機網關(Dual Homed Gateway)…………………………3
3-2屏蔽主機網關(Screened Host Gateway)……………………..3
3-3屏蔽子網(Screened Subnet)…………………………………..3 4 分布式防火墻技術…………………………………………………..4
4-1 分布式防火墻的產生…….……………………………………..4
4-2 分布式防火墻的主要特點….…………………………………..4
4-2-1主機駐留……………………………………………………….4
4-2-2嵌入操作系統內核…………………………………………….4
4-2-3類似于個人防火墻…………………………………………….4
4-2-4適用于服務器托管…………………..………………………….4 4-3 分布式防火墻的主要優勢…………………..…….……………..4
4-3-1增強的系統安全性……………………………………………...4
4-3-2提高了系統性能………………………………………………...4
4-3-3系統的無限擴展性……………………………………………...4
4-3-4實施主機策略………………….……………..…………………4
4-3-5應用更為廣泛,支持VPN通信…………………………………4
4-4分布式防火墻的主要功能………………………………………..4
4-4-1 Internet訪問控制……………………………………………..4
4-4-2應用訪問控制…………………………………………………...4
4-4-3網絡狀態監控…………………………………………………...4
4-4-4黑客攻擊的防御..……………………………………………….4
4-4-5日志管理………………………………………………………...4
4-4-6系統工具………………………………………………………...4 5 防火墻未來的技術發展趨勢………………………………………..13
5.1防火墻包過濾技術發展趨勢…………………………………….13
5.1.1用戶身份驗證…………………………………………………..13
5.1.2多級過濾技術…………………………………………………..13
5.1.3使防火墻具有病毒防護功能…………………………………..13
5.2防火墻的體系結構發展趨勢…………………………………….13
5.3防火墻的系統管理發展趨勢…………………………………….13
5.3.1集中式管理
5.3.2強大的審計功能和自動日志分析功能
5.3.網絡安全產品的系統化 6 結束語
論文摘要
隨著Internet的迅猛發展,安全性已經成為網絡互聯技術中最關鍵的問題。本文全面介紹了Internet防火墻技術;介紹了目前比較流行的三種防火墻的配置及防火墻自身存在的局限性;詳細剖析了新一代防火墻技術(分布式防火墻技術)的功能特色、關鍵技術、主要優勢及功能;同時簡要描述了Internet防火墻技術的發展趨勢。
關鍵詞:Internet 網路安全 防火墻 分布式 訪問控制
點擊咨詢 